खबर जारी की गई थी कि GitHub पर लागू करने के लिए चर्चा के लिए एक प्रस्ताव रखा गया है सेवा संकुल को सत्यापित करने के लिए सिगस्टोर डिजिटल हस्ताक्षर के साथ और रिलीज वितरित करते समय प्रामाणिकता की पुष्टि करने के लिए एक सार्वजनिक रिकॉर्ड बनाए रखें।
प्रस्ताव के बारे में यह उल्लेख किया गया है कि सिगस्टोर का उपयोग सुरक्षा के एक अतिरिक्त स्तर को लागू करने की अनुमति देगा सॉफ्टवेयर घटकों और निर्भरता (आपूर्ति श्रृंखला) को बदलने के उद्देश्य से हमलों के खिलाफ।
सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करना हमारे उद्योग के सामने सबसे बड़ी सुरक्षा चुनौतियों में से एक है। यह प्रस्ताव एक महत्वपूर्ण अगला कदम है, लेकिन वास्तव में इस चुनौती को हल करने के लिए पूरे समुदाय से प्रतिबद्धता और निवेश की आवश्यकता होगी…
ये परिवर्तन ओपन सोर्स उपभोक्ताओं को सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों से बचाने में मदद करते हैं; दूसरे शब्दों में, जब दुर्भावनापूर्ण उपयोगकर्ता एक अनुरक्षक के खाते को भंग करके और कई डेवलपर्स द्वारा उपयोग किए जाने वाले ओपन सोर्स निर्भरता में दुर्भावनापूर्ण सॉफ़्टवेयर जोड़कर मैलवेयर फैलाने का प्रयास करते हैं।
उदाहरण के लिए, एनपीएम में निर्भरता में से किसी एक के डेवलपर खाते से छेड़छाड़ की गई है और एक हमलावर दुर्भावनापूर्ण कोड के साथ एक पैकेज अपडेट उत्पन्न करता है, तो कार्यान्वित परिवर्तन परियोजना स्रोतों की रक्षा करेगा।
यह उल्लेखनीय है कि सिगस्टोर सिर्फ एक और कोड साइनिंग टूल नहीं है, क्योंकि इसका सामान्य दृष्टिकोण ओपनआईडी कनेक्ट (ओआईडीसी) पहचान के आधार पर अल्पकालिक कुंजी जारी करके हस्ताक्षर कुंजी को प्रबंधित करने की आवश्यकता को समाप्त करना है, साथ ही साथ क्रियाओं को रिकॉर्ड करता है एक अपरिवर्तनीय लेज़र में जिसे रेकोर कहा जाता है, इसके अलावा सिगस्टोर का अपना प्रमाणन प्राधिकरण है जिसे फुल्सियो कहा जाता है
सुरक्षा के नए स्तर के लिए धन्यवाद, डेवलपर्स जेनरेट किए गए पैकेज को उपयोग किए गए स्रोत कोड से लिंक करने में सक्षम होंगे और निर्माण वातावरण, उपयोगकर्ता को यह सत्यापित करने का अवसर देता है कि पैकेज की सामग्री मुख्य परियोजना भंडार में स्रोतों की सामग्री से मेल खाती है।
सिगस्टोर का उपयोग कुंजी प्रबंधन प्रक्रिया को बहुत सरल करता है और पंजीकरण, निरसन और क्रिप्टोग्राफिक कुंजी प्रबंधन से जुड़ी जटिलताओं को समाप्त करता है। सिगस्टोर खुद को कोड के लिए लेट्स एनक्रिप्ट के रूप में प्रचारित करता है, सत्यापन को स्वचालित करने के लिए डिजिटल रूप से हस्ताक्षर करने वाले कोड और टूल के लिए प्रमाण पत्र प्रदान करता है।
हम आज टिप्पणियों के लिए एक नया अनुरोध (आरएफसी) खोल रहे हैं, जो एक पैकेज को उसके स्रोत भंडार और निर्माण वातावरण के लिए बाध्य करता है। जब पैकेज अनुरक्षक इस प्रणाली को चुनते हैं, तो उनके पैकेज के उपभोक्ताओं को अधिक विश्वास हो सकता है कि पैकेज की सामग्री लिंक्ड रिपॉजिटरी की सामग्री से मेल खाती है।
स्थायी चाबियों के बजाय, सिगस्टोर अल्पकालिक अल्पकालिक कुंजियों का उपयोग करता है जो अनुमतियों के आधार पर उत्पन्न होती हैं। हस्ताक्षर के लिए उपयोग की जाने वाली सामग्री एक संशोधन-संरक्षित सार्वजनिक रिकॉर्ड में परिलक्षित होती है, जिससे आप यह सुनिश्चित कर सकते हैं कि हस्ताक्षर का लेखक वही है जो वे कहते हैं कि वे हैं, और हस्ताक्षर उसी प्रतिभागी द्वारा बनाया गया था जो जिम्मेदार था।
इस परियोजना को अन्य पैकेज मैनेजर इकोसिस्टम के साथ जल्दी अपनाया गया है। आज के आरएफसी के साथ, हम सिगस्टोर का उपयोग करते हुए एनपीएम पैकेजों पर शुरू से अंत तक हस्ताक्षर करने के लिए समर्थन जोड़ने का प्रस्ताव करते हैं। इस प्रक्रिया में पैकेज कहां, कब और कैसे बनाया गया, इस बारे में प्रमाणपत्र तैयार करना शामिल होगा, ताकि बाद में इसकी पुष्टि की जा सके।
अखंडता सुनिश्चित करने के लिए और डेटा भ्रष्टाचार से सुरक्षा, एक मर्कल ट्री ट्री संरचना का उपयोग किया जाता है जिसमें प्रत्येक शाखा संयुक्त हैश (पेड़) के माध्यम से सभी अंतर्निहित शाखाओं और नोड्स की जांच करती है। अंतिम हैश होने से, उपयोगकर्ता पूरे ऑपरेशन इतिहास की शुद्धता के साथ-साथ डेटाबेस के पिछले राज्यों की शुद्धता को सत्यापित कर सकता है (डेटाबेस की नई स्थिति के रूट चेक हैश की गणना पिछली स्थिति को देखते हुए की जाती है)।
अंत में, यह उल्लेखनीय है कि सिगस्टोर को संयुक्त रूप से लिनक्स फाउंडेशन, गूगल, रेड हैट, पर्ड्यू यूनिवर्सिटी और चिंगार्ड द्वारा विकसित किया गया है।
यदि आप इसके बारे में अधिक जानना चाहते हैं, तो आप विवरण में देख सकते हैं निम्नलिखित लिंक।