Sigstore, kodu dijital olarak imzalamak için sertifikalar ve doğrulamayı otomatikleştirmek için araçlar sağlayan bir Let's Encrypt kod için düşünülebilir.
Google açıkladı bir blog yazısı aracılığıyla, duyurusu ilk kararlı sürümlerinin oluşumu projeyi oluşturan bileşenler mağaza, çalışan dağıtımlar oluşturmak için uygun ilan edildi.
Sigstore'dan haberi olmayanlar bilsinler ki bu bir projedir. Yazılımın doğrulanması için araçlar ve hizmetler geliştirme ve sağlama amacına sahiptir. dijital imzaların kullanılması ve değişikliklerin gerçekliğini onaylayan bir genel kayıt tutulması (şeffaflık kaydı).
Sigstore ile, geliştiriciler dijital olarak imzalayabilir sürüm dosyaları, kapsayıcı görüntüleri, bildirimler ve yürütülebilir dosyalar gibi uygulamayla ilgili yapıtlar. için kullanılan malzeme imza, kurcalamaya karşı korumalı bir kamu kaydına yansıtılır doğrulama ve denetleme için kullanılabilir.
Kalıcı anahtarlar yerine, Sigstore kısa ömürlü geçici anahtarlar kullanır OpenID Connect sağlayıcıları tarafından doğrulanan kimlik bilgilerine dayalı olarak oluşturulan (dijital imza oluşturmak için gerekli anahtarların oluşturulması sırasında geliştirici, OpenID sağlayıcısı aracılığıyla bir e-posta bağlantısıyla tanımlanır).
Anahtarların gerçekliği, merkezi bir genel kayıt defteri tarafından doğrulanır, bu, imzanın yazarının tam olarak söylediği kişi olduğundan ve imzanın önceki sürümlerden sorumlu olan aynı katılımcı tarafından oluşturulduğundan emin olmanızı sağlar.
Sigstore'un hazırlanması Uygulama için nedeniyle iki temel bileşenin versiyonlanması: Rekor 1.0 ve Fulcio 1.0programlama arayüzleri kararlı olarak bildirilen ve bundan böyle önceki sürümlerle uyumluluğu koruyan . Hizmetin bileşenleri Go'da yazılmıştır ve Apache 2.0 lisansı altında yayınlanmıştır.
Bileşen Rekor, dijital olarak imzalanmış meta verileri depolamak için bir kayıt defteri uygulaması içerir projelerle ilgili bilgileri yansıtan Bütünlüğü ve veri bozulmasına karşı korumayı sağlamak için, her bir dalın ortak hash (ağaç) aracılığıyla tüm temel dalları ve düğümleri doğruladığı bir Merkle Ağacı yapısı kullanılır. Kullanıcı, son bir karmaya sahip olarak, tüm işlem geçmişinin doğruluğunu ve ayrıca veritabanının geçmiş durumlarının doğruluğunu doğrulayabilir (veritabanının yeni durumunun kök kontrol karması, geçmiş durum dikkate alınarak hesaplanır). Yeni kayıtları kontrol etmek ve eklemek için bir RESTful API ve ayrıca bir komut satırı arayüzü sağlanmıştır.
Bileşen fulcius (SigStore WebPKI) sertifika yetkilileri oluşturmak için bir sistem içerir (kök CA) OpenID Connect aracılığıyla kimliği doğrulanmış e-postaya dayalı kısa ömürlü sertifikalar yayınlar. Sertifikanın ömrü 20 dakikadır ve bu süre boyunca geliştiricinin dijital bir imza oluşturmak için zamana sahip olması gerekir (sertifika gelecekte bir saldırganın eline geçerse, zaten süresi dolacaktır). Ayrıca, proje Cosign araç setini geliştiriyor (Container Signing), kapsayıcılar için imzalar oluşturmak, imzaları doğrulamak ve imzalı kapsayıcıları OCI (Open Container Initiative) uyumlu depolara yerleştirmek için tasarlanmıştır.
Tanımı Sigstore, yazılım dağıtım kanallarının güvenliğini artırmaya olanak tanır ve kitaplığı ve bağımlılık ikamesini (tedarik zinciri) hedefleyen saldırılara karşı koruma sağlar. Açık kaynaklı yazılımlardaki en önemli güvenlik sorunlarından biri, programın kaynağını doğrulamanın ve oluşturma sürecini doğrulamanın zorluğudur.
Sürüm doğrulama için dijital imzaların kullanımı henüz yaygın değil anahtar yönetimi, ortak anahtar dağıtımı ve güvenliği ihlal edilmiş anahtarların iptal edilmesindeki zorluklar nedeniyle. Doğrulamanın anlamlı olması için, ortak anahtarların ve sağlama toplamlarının dağıtımı için güvenilir ve güvenli bir süreç düzenlemek de gereklidir. Dijital imza ile bile, birçok kullanıcı doğrulama işlemini görmezden gelir çünkü doğrulama sürecini öğrenmek ve hangi anahtarın güvenilir olduğunu anlamak zaman alır.
Proje, Google, Red Hat, Cisco, vmWare, GitHub ve HP Enterprise'ın kâr amacı gütmeyen Linux Vakfı himayesinde, OpenSSF (Open Source Security Foundation) ve Purdue Üniversitesi'nin katılımıyla geliştiriliyor.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara şuradan bakabilirsiniz: aşağıdaki bağlantı.