বিনামূল্যে সফ্টওয়্যার সরবরাহ শৃঙ্খলা সুরক্ষিত করার প্রয়াসে লিনাক্স ফাউন্ডেশন (অলাভজনক সংস্থা যা মুক্ত উত্সের মাধ্যমে উদ্ভাবনকে উত্সাহিত করে) চালু করার জন্য রেড হ্যাট, গুগল, এবং পারডিউ বিশ্ববিদ্যালয়ের সাথে অংশীদারিত্ব করেছে বিকাশকারীদের সহজেই সফ্টওয়্যারে ক্রিপ্টোগ্রাফিক স্বাক্ষর গ্রহণ করতে সহায়তা করার জন্য একটি নতুন প্রকল্প।
এস্তে নতুন প্রকল্প ওপেন সোর্স সফ্টওয়্যার, প্রকল্পের ক্রমবর্ধমান শিল্প গ্রহণের হার হিসাবে রেকর্ড স্বচ্ছ প্রযুক্তিগুলি দ্বারা সমর্থিত, সিগস্টোরের লক্ষ্য ছিল সরকারী সফ্টওয়্যার ভান্ডারগুলিতে সরবরাহ শৃঙ্খলে দুর্নীতিবাজ কোড ইনজেকশন করা থেকে আক্রমণ প্রতিরোধ করা।
সিগস্টোর সফ্টওয়্যার বিকাশকারীদের নিরাপদে সাইন ইন করার অনুমতি দেবে সংস্করণ ফাইল, ধারক ইমেজ এবং বাইনারিগুলির মতো সফ্টওয়্যার শিল্পকলাগুলি। উল্লেখ করা আছে যে স্বাক্ষরিত আইটেমগুলি একটি টেম্পার-প্রুফ পাবলিক জার্নালে সংরক্ষণ করা হয়।
সিগস্টোর বিকাশকারীদের এমন সফ্টওয়্যারটির উত্স এবং সত্যতা বুঝতে এবং তা নিশ্চিত করতে সক্ষম করে যা প্রায়শই ভিন্ন ভিন্ন পদ্ধতির এবং ডেটা ফর্ম্যাটগুলির সেটের ভিত্তিতে থাকে। বিদ্যমান সমাধানগুলি প্রায়শই অনিরাপদ সিস্টেমে সঞ্চিত "সংক্ষেপগুলি" (হ্যাশ বা একটি হ্যাশ ফাংশনের ফলাফল) এর উপর ভিত্তি করে তৈরি করা হয়, যা দুর্নীতিগ্রস্থ হতে পারে এবং হ্যাশ এক্সচেঞ্জ বা হ্যাশ ফাংশন, ব্যবহারকারীদের বিরুদ্ধে পরিচালিত আক্রমণ ইত্যাদির মতো বিভিন্ন আক্রমণের কারণ হতে পারে।
পরিষেবা ব্যবহার সমস্ত সফ্টওয়্যার বিকাশকারী এবং বিক্রেতাদের জন্য বিনামূল্যে হবে, এবং সিগস্টোর সম্প্রদায় সিগস্টোরের জন্য কোড এবং অপারেশনাল সরঞ্জামগুলি বিকাশ করবে। প্রকল্পের প্রতিষ্ঠাতা সদস্যদের মধ্যে রেড হ্যাট, গুগল এবং পার্ডিউ বিশ্ববিদ্যালয় অন্যতম।
"সিগস্টোর সমস্ত ওপেন সোর্স সম্প্রদায়কে তাদের সফ্টওয়্যার স্বাক্ষর করতে সক্ষম করে এবং স্বচ্ছ এবং যাচাইযোগ্য সফ্টওয়্যার সরবরাহ শৃঙ্খলা তৈরি করতে প্রবর্তন, অখণ্ডতা এবং আবিষ্কারের সাথে মিলিত করে," রেড হ্যাট সিটিও অফিসের চিফ সিকিউরিটি অফিসার লূক হিন্ডস বলেছিলেন। "লিনাক্স ফাউন্ডেশনে এই সহযোগিতা হোস্ট করার মাধ্যমে আমরা সিগস্টোরের বিষয়ে আমাদের কাজকে ত্বরান্বিত করতে এবং ওপেন সোর্স সফ্টওয়্যার ও বিকাশের অব্যাহত গ্রহণ এবং প্রভাবকে সমর্থন করতে পারি।"
“একটি সফ্টওয়্যার বাস্তবায়ন সুরক্ষিত করার বিষয়টি নিশ্চিত করেই শুরু করা উচিত যে আমরা যে সফ্টওয়্যারটি আমাদের মনে করি যে এটি চালাচ্ছি। সিগস্টোর ওপেন সোর্স সফ্টওয়্যার সরবরাহ শৃঙ্খলে আরও আস্থা ও স্বচ্ছতা আনার দুর্দান্ত সুযোগের প্রতিনিধিত্ব করে, "জোশ আস বলেছেন,
যুক্তি দিয়ে যে আধুনিক সফ্টওয়্যার সরবরাহ শৃঙ্খলা একাধিক ঝুঁকির মুখোমুখি, প্রকল্পটি বলে যে বিদ্যমান সরঞ্জামগুলি, যাতে কীগুলিতে স্বাক্ষর করতে ব্যক্তিদের সাথে সাক্ষাত করা জড়িত থাকে এবং এটি এত দিন ধরে ভালভাবে কাজ করে, ভৌগলিকভাবে বিচ্ছুরিত অঞ্চলগুলির সাথে আজকের পরিবেশে আর অর্জন করা যাবে না.
এছাড়াও, এটি উল্লেখ করা হয় যে খুব কম সংখ্যক ওপেন সোর্স প্রকল্প রয়েছে যেগুলি সফটওয়্যার সংস্করণ শৈলীগুলিতে ক্রিপ্টোগ্রাফিকভাবে স্বাক্ষর করে। এটি মূলত কী পরিচালনা, মূল আপস, প্রত্যাবর্তন এবং পাবলিক কী এবং হ্যাশ শিল্পকর্মগুলির বিতরণে সফটওয়্যার রক্ষণাবেক্ষকদের মুখোমুখি চ্যালেঞ্জগুলির কারণে এটি। এর অর্থ হ'ল ব্যবহারকারীদের স্বাক্ষরটি বৈধ করার জন্য প্রয়োজনীয় কী পদক্ষেপগুলি বিশ্বাস করতে হবে এবং শিখতে হবে।
“সিগস্টোরের লক্ষ্য ওপেন সোর্স সফ্টওয়্যারটির সমস্ত সংস্করণ যাচাইযোগ্য এবং ব্যবহারকারীদের দ্বারা যাচাইকরণের সুবিধার্থে করা। আশা করি আমরা ভিএম থেকে বেরিয়ে আসার মতোই সহজ করে তুলতে পারি, ”গুগলের ওপেন সোর্স সফটওয়্যার সুরক্ষা টিমের সফটওয়্যার ইঞ্জিনিয়ার ড্যান লরেন্স বলেছেন।
আর একটি সমস্যা হ্যাশ এবং পাবলিক কীগুলি বিতরণ করা হয়: সেগুলি প্রায়শই সম্ভাব্য হ্যাক করা ওয়েবসাইটগুলিতে বা একটি পাবলিক গিট রিপোজিটরিতে অবস্থিত একটি README ফাইলে সংরক্ষণ করা হয়।
সিগস্টোর একটি খোলা এবং যাচাইযোগ্য পাবলিক স্বচ্ছতার রেজিস্ট্রি থেকে আস্থার বিশ্বাসের মূল সহ স্বল্পস্থায়ী অল্পকালীন কীগুলি ব্যবহার করে এই সমস্যাগুলি সমাধান করার চেষ্টা করে। নতুন পরিষেবাটি বিকাশকারীদের এবং ব্যবহারকারীদের ন্যূনতম ওভারহেড সহ সফ্টওয়্যারটির উত্স এবং সত্যতা বুঝতে এবং নিশ্চিত করতে সহায়তা করবে।
“সিগস্টোরের মতো একটি সিস্টেম নিয়ে আমি খুব আগ্রহী। সরবরাহ শৃঙ্খলার স্থিতি সম্পর্কে রিপোর্ট করার জন্য সফটওয়্যার ইকোসিস্টেমের তাত্ক্ষণিকভাবে এমন সিস্টেমের প্রয়োজন। আমি সিগস্টোরের সাথে মনে করি, যা সফ্টওয়্যার উত্স এবং মালিকানা সম্পর্কে সমস্ত প্রশ্নের জবাব দেয়, আমরা অপরাধী নেটওয়ার্কগুলি সনাক্ত করতে এবং সমালোচনামূলক সফ্টওয়্যার অবকাঠামো সুরক্ষিত করার জন্য সফ্টওয়্যার গন্তব্য, ভোক্তা, সম্মতি (আইনী এবং অন্যথায়) সম্পর্কে প্রশ্ন জিজ্ঞাসা করতে পারি, "