એવા સમાચાર જાહેર થયા હતા GitHub પર અમલીકરણ માટે ચર્ચા માટે પ્રસ્તાવ મૂકવામાં આવ્યો છે સેવા પેકેજો ચકાસવા માટે સિગસ્ટોર ડિજિટલ હસ્તાક્ષરો સાથે અને પ્રકાશનોનું વિતરણ કરતી વખતે અધિકૃતતાની પુષ્ટિ કરવા માટે જાહેર રેકોર્ડ જાળવી રાખો.
દરખાસ્ત વિશે ઉલ્લેખ છે કે સિગસ્ટોરનો ઉપયોગ સુરક્ષાના વધારાના સ્તરને અમલમાં મૂકવાની મંજૂરી આપશે સોફ્ટવેર ઘટકો અને અવલંબન (સપ્લાય ચેઇન) ને બદલવાના હેતુથી હુમલાઓ સામે.
સોફ્ટવેર સપ્લાય ચેઈનને સુરક્ષિત કરવી એ અત્યારે આપણા ઉદ્યોગ સામેના સૌથી મોટા સુરક્ષા પડકારો પૈકી એક છે. આ દરખાસ્ત એક મહત્વપૂર્ણ આગલું પગલું છે, પરંતુ આ પડકારને સાચા અર્થમાં ઉકેલવા માટે સમગ્ર સમુદાયમાંથી પ્રતિબદ્ધતા અને રોકાણની જરૂર પડશે...
આ ફેરફારો ઓપન સોર્સ ગ્રાહકોને સોફ્ટવેર સપ્લાય ચેઈન હુમલાઓથી સુરક્ષિત કરવામાં મદદ કરે છે; બીજા શબ્દોમાં કહીએ તો, જ્યારે દૂષિત વપરાશકર્તાઓ જાળવણીકર્તાના ખાતાનો ભંગ કરીને અને ઘણા વિકાસકર્તાઓ દ્વારા ઉપયોગમાં લેવાતા ઓપન સોર્સ ડિપેન્ડન્સીમાં દૂષિત સોફ્ટવેર ઉમેરીને માલવેર ફેલાવવાનો પ્રયાસ કરે છે.
ઉદાહરણ તરીકે, અમલમાં આવેલ ફેરફાર પ્રોજેક્ટ સ્ત્રોતોને સુરક્ષિત કરશે જો NPM અવલંબનમાંથી એકના ડેવલપર એકાઉન્ટ સાથે ચેડા કરવામાં આવે અને હુમલાખોર દૂષિત કોડ સાથે પેકેજ અપડેટ જનરેટ કરે.
ઉલ્લેખનીય છે કે સિગસ્ટોર એ માત્ર અન્ય કોડ સાઈનિંગ ટૂલ નથી, કારણ કે તેનો સામાન્ય અભિગમ ઓપનઆઈડી કનેક્ટ (ઓઆઈડીસી) ઓળખ પર આધારિત ટૂંકા ગાળાની કી ઈશ્યૂ કરીને સાઈનિંગ કીનું સંચાલન કરવાની જરૂરિયાતને દૂર કરવાનો છે, તે જ સમયે ક્રિયાઓ રેકોર્ડ કરે છે. રેકોર નામના અપરિવર્તનશીલ ખાતાવહીમાં, તે ઉપરાંત સિગસ્ટોરની પોતાની સર્ટિફિકેશન ઓથોરિટી છે જેને ફુલસીઓ કહેવાય છે
સંરક્ષણના નવા સ્તર માટે આભાર, વિકાસકર્તાઓ જનરેટ કરેલ પેકેજને ઉપયોગમાં લેવાતા સ્ત્રોત કોડ સાથે લિંક કરી શકશે અને બિલ્ડ એન્વાયર્નમેન્ટ, વપરાશકર્તાને ચકાસવાની તક આપે છે કે પેકેજની સામગ્રી મુખ્ય પ્રોજેક્ટ રિપોઝીટરીમાંના સ્ત્રોતોની સામગ્રીને અનુરૂપ છે.
સિગસ્ટોરનો ઉપયોગ કી મેનેજમેન્ટ પ્રક્રિયાને મોટા પ્રમાણમાં સરળ બનાવે છે અને નોંધણી, રદબાતલ અને ક્રિપ્ટોગ્રાફિક કી મેનેજમેન્ટ સાથે સંકળાયેલી જટિલતાઓને દૂર કરે છે. સિગસ્ટોર કોડ માટે લેટ્સ એન્ક્રિપ્ટ તરીકે પોતાને પ્રમોટ કરે છે, ડિજિટલી સાઇનિંગ કોડ માટે પ્રમાણપત્રો અને સ્વચાલિત ચકાસણી માટે સાધનો પ્રદાન કરે છે.
અમે આજે એક નવી રિકવેસ્ટ ફોર કોમેન્ટ્સ (RFC) ખોલી રહ્યા છીએ, જે પેકેજને તેના સ્ત્રોત રિપોઝીટરી અને બિલ્ડ એન્વાયર્નમેન્ટ સાથે જોડવાનું જુએ છે. જ્યારે પેકેજ જાળવણીકારો આ સિસ્ટમ માટે પસંદ કરે છે, ત્યારે તેમના પેકેજોના ઉપભોક્તાઓ વધુ વિશ્વાસ રાખી શકે છે કે પેકેજની સામગ્રી લિંક કરેલ રીપોઝીટરીની સામગ્રી સાથે મેળ ખાય છે.
કાયમી ચાવીઓને બદલે, સિગસ્ટોર અલ્પજીવી ક્ષણિક કીનો ઉપયોગ કરે છે જે પરવાનગીઓના આધારે જનરેટ થાય છે. હસ્તાક્ષર માટે વપરાતી સામગ્રી ફેરફાર-સંરક્ષિત સાર્વજનિક રેકોર્ડમાં પ્રતિબિંબિત થાય છે, જે તમને ખાતરી કરવા દે છે કે હસ્તાક્ષરના લેખક તેઓ જે કહે છે તે બરાબર છે અને સહી તે જ સહભાગી દ્વારા બનાવવામાં આવી હતી જે જવાબદાર હતા.
આ પ્રોજેક્ટમાં અન્ય પેકેજ મેનેજર ઇકોસિસ્ટમ્સ સાથે પ્રારંભિક દત્તક જોવા મળે છે. આજના RFC સાથે, અમે સિગસ્ટોરનો ઉપયોગ કરીને npm પેકેજોના અંત-થી-અંતમાં હસ્તાક્ષર માટે સમર્થન ઉમેરવાનો પ્રસ્તાવ આપીએ છીએ. આ પ્રક્રિયામાં પેકેજ ક્યાં, ક્યારે અને કેવી રીતે બનાવવામાં આવ્યું હતું તે અંગેના પ્રમાણપત્રોની પેઢીનો સમાવેશ થશે, જેથી તે પછીથી ચકાસી શકાય.
અખંડિતતા સુનિશ્ચિત કરવા અને ડેટા ભ્રષ્ટાચાર સામે રક્ષણ, મર્કલ ટ્રી ટ્રી સ્ટ્રક્ચરનો ઉપયોગ થાય છે જેમાં દરેક શાખા સંયુક્ત હેશ (વૃક્ષ) દ્વારા તમામ અંતર્ગત શાખાઓ અને ગાંઠો તપાસે છે. ટ્રેલિંગ હેશ રાખવાથી, વપરાશકર્તા સમગ્ર ઓપરેશન ઇતિહાસની શુદ્ધતા તેમજ ભૂતકાળની ડેટાબેઝ સ્થિતિની ચોકસાઈને ચકાસી શકે છે (નવી ડેટાબેઝ સ્થિતિના રૂટ ચેક હેશની ગણતરી ભૂતકાળની સ્થિતિને ધ્યાનમાં રાખીને કરવામાં આવે છે).
છેલ્લે, એ ઉલ્લેખનીય છે કે સિગસ્ટોર લિનક્સ ફાઉન્ડેશન, ગૂગલ, રેડ હેટ, પરડ્યુ યુનિવર્સિટી અને ચેનગાર્ડ દ્વારા સંયુક્ત રીતે વિકસાવવામાં આવ્યું છે.
જો તમે તેના વિશે વધુ જાણવા માંગતા હો, તો તમે વિગતોનો સંપર્ક કરી શકો છો નીચેની કડી.