এমন খবর প্রকাশিত হয়েছে GitHub-এ একটি প্রস্তাব বাস্তবায়নের জন্য আলোচনার জন্য রাখা হয়েছে সেবা প্যাকেজ যাচাই করতে সিগস্টোর ডিজিটাল স্বাক্ষর সহ এবং রিলিজ বিতরণ করার সময় সত্যতা নিশ্চিত করতে একটি সর্বজনীন রেকর্ড বজায় রাখুন।
প্রস্তাবে সিগস্টোর ব্যবহারের কথা উল্লেখ করা হয় সুরক্ষার একটি অতিরিক্ত স্তর বাস্তবায়ন করার অনুমতি দেবে সফ্টওয়্যার উপাদান এবং নির্ভরতা (সাপ্লাই চেইন) প্রতিস্থাপনের লক্ষ্যে আক্রমণের বিরুদ্ধে।
সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষিত করা এখন আমাদের শিল্পের সামনে সবচেয়ে বড় নিরাপত্তা চ্যালেঞ্জগুলির মধ্যে একটি। এই প্রস্তাবটি একটি গুরুত্বপূর্ণ পরবর্তী পদক্ষেপ, কিন্তু সত্যিকার অর্থে এই চ্যালেঞ্জটি সমাধান করার জন্য সমগ্র সম্প্রদায়ের প্রতিশ্রুতি এবং বিনিয়োগের প্রয়োজন হবে...
এই পরিবর্তনগুলি ওপেন সোর্স ভোক্তাদের সফটওয়্যার সাপ্লাই চেইন আক্রমণ থেকে রক্ষা করতে সাহায্য করে; অন্য কথায়, যখন দূষিত ব্যবহারকারীরা রক্ষণাবেক্ষণকারীর অ্যাকাউন্ট লঙ্ঘন করে এবং অনেক ডেভেলপারদের দ্বারা ব্যবহৃত ওপেন সোর্স নির্ভরতায় দূষিত সফ্টওয়্যার যোগ করে ম্যালওয়্যার ছড়িয়ে দেওয়ার চেষ্টা করে।
উদাহরণ স্বরূপ, NPM-এর কোনো একটি নির্ভরতার ডেভেলপার অ্যাকাউন্টের সাথে আপস করা হলে এবং কোনো আক্রমণকারী দূষিত কোড সহ একটি প্যাকেজ আপডেট তৈরি করলে প্রকল্পের উৎসগুলিকে বাস্তবায়িত পরিবর্তন রক্ষা করবে।
এটি উল্লেখ করার মতো যে সিগস্টোর কেবলমাত্র অন্য কোড সাইনিং টুল নয়, কারণ এর স্বাভাবিক পদ্ধতি হল কাজগুলি রেকর্ড করার সাথে সাথে OpenID কানেক্ট (OIDC) পরিচয়ের উপর ভিত্তি করে স্বল্পমেয়াদী কী ইস্যু করে সাইনিং কীগুলি পরিচালনা করার প্রয়োজনীয়তা দূর করা। রেকোর নামক একটি অপরিবর্তনীয় লেজারে, যার সাথে সিগস্টোরের ফুলসিও নামে নিজস্ব সার্টিফিকেশন কর্তৃপক্ষ রয়েছে
সুরক্ষার নতুন স্তরের জন্য ধন্যবাদ, ডেভেলপাররা জেনারেট করা প্যাকেজটিকে ব্যবহৃত সোর্স কোডের সাথে লিঙ্ক করতে পারবে এবং বিল্ড এনভায়রনমেন্ট, ব্যবহারকারীকে যাচাই করার সুযোগ দেয় যে প্যাকেজের বিষয়বস্তু মূল প্রজেক্ট রিপোজিটরির উৎসের বিষয়বস্তুর সাথে মিলে যায়।
সিগস্টোর ব্যবহার ব্যাপকভাবে মূল ব্যবস্থাপনা প্রক্রিয়া সহজতর এবং রেজিস্ট্রেশন, প্রত্যাহার এবং ক্রিপ্টোগ্রাফিক কী ব্যবস্থাপনার সাথে যুক্ত জটিলতা দূর করে। সিগস্টোর নিজেকে কোডের জন্য লেটস এনক্রিপ্ট হিসাবে প্রচার করে, ডিজিটালি সাইনিং কোডের জন্য শংসাপত্র এবং স্বয়ংক্রিয় যাচাইকরণের সরঞ্জাম সরবরাহ করে।
আমরা আজ একটি নতুন রিকোয়েস্ট ফর কমেন্ট (RFC) খুলছি, যা একটি প্যাকেজকে এর সোর্স রিপোজিটরি এবং বিল্ড এনভায়রনমেন্টে আবদ্ধ করার দিকে নজর দেয়। যখন প্যাকেজ রক্ষণাবেক্ষণকারীরা এই সিস্টেমটি বেছে নেয়, তখন তাদের প্যাকেজের গ্রাহকরা আরও আস্থা রাখতে পারেন যে প্যাকেজের বিষয়বস্তু লিঙ্ক করা সংগ্রহস্থলের বিষয়বস্তুর সাথে মেলে।
স্থায়ী চাবির পরিবর্তে, সিগস্টোর স্বল্পস্থায়ী ক্ষণস্থায়ী কী ব্যবহার করে যা অনুমতির উপর ভিত্তি করে তৈরি হয়। স্বাক্ষরের জন্য ব্যবহৃত উপাদানটি একটি পরিবর্তন-সুরক্ষিত পাবলিক রেকর্ডে প্রতিফলিত হয়, যা আপনাকে নিশ্চিত করতে দেয় যে স্বাক্ষরের লেখক ঠিক সেই ব্যক্তি যাকে তারা বলেছে এবং স্বাক্ষরটি একই অংশগ্রহণকারী দ্বারা গঠিত হয়েছিল যিনি দায়ী ছিলেন।
প্রকল্পটি অন্যান্য প্যাকেজ ম্যানেজার ইকোসিস্টেমের সাথে প্রাথমিকভাবে গ্রহণ করা হয়েছে। আজকের RFC এর সাথে, আমরা সিগস্টোর ব্যবহার করে npm প্যাকেজগুলির এন্ড-টু-এন্ড সাইনিংয়ের জন্য সমর্থন যোগ করার প্রস্তাব করছি। এই প্রক্রিয়াটি কোথায়, কখন এবং কীভাবে প্যাকেজ তৈরি করা হয়েছিল সে সম্পর্কে শংসাপত্রের প্রজন্মকে অন্তর্ভুক্ত করবে, যাতে এটি পরে যাচাই করা যায়।
অখণ্ডতা নিশ্চিত করা এবং ডেটা দুর্নীতির বিরুদ্ধে সুরক্ষা, একটি Merkle গাছ গাছ গঠন ব্যবহার করা হয় যেখানে প্রতিটি শাখা যৌথ হ্যাশ (বৃক্ষ) এর মাধ্যমে সমস্ত অন্তর্নিহিত শাখা এবং নোড পরীক্ষা করে। একটি চূড়ান্ত হ্যাশ থাকার মাধ্যমে, ব্যবহারকারী পুরো অপারেশন ইতিহাসের সঠিকতা যাচাই করতে পারে, সেইসাথে ডাটাবেসের অতীত অবস্থার সঠিকতা যাচাই করতে পারে (ডাটাবেসের নতুন অবস্থার রুট চেক হ্যাশ অতীতের অবস্থা বিবেচনা করে গণনা করা হয়)।
পরিশেষে, এটি উল্লেখ করার মতো যে সিগস্টোর যৌথভাবে লিনাক্স ফাউন্ডেশন, গুগল, রেড হ্যাট, পারডু ইউনিভার্সিটি এবং চেইনগার্ড দ্বারা তৈরি করা হয়েছে।
আপনি যদি এটি সম্পর্কে আরও জানতে চান তবে আপনি বিশদে পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক।