Kabar iki dirilis sing ing GitHub proposal wis sijine munggah kanggo diskusi kanggo ngleksanakake layanan kasebut Sigstore kanggo verifikasi paket kanthi teken digital lan njaga rekaman umum kanggo konfirmasi keasliane nalika nyebarake rilis.
Babagan proposal kasebut sing nggunakake Sigstore bakal ngidini kanggo ngleksanakake tingkat tambahan saka pangayoman marang serangan ngarahke ing ngganti komponen lunak lan dependensi (chain supply).
Ngamanake rantai pasokan piranti lunak minangka salah sawijining tantangan keamanan paling gedhe sing diadhepi industri kita saiki. Proposal iki minangka langkah sabanjure sing penting, nanging kanggo ngrampungake tantangan iki mbutuhake komitmen lan investasi saka kabeh komunitas…
Owah-owahan kasebut mbantu nglindhungi konsumen open source saka serangan rantai pasokan piranti lunak; ing tembung liyane, nalika pangguna angkoro nyoba nyebar malware kanthi nglanggar akun maintainer lan nambah piranti lunak angkoro menyang dependensi open source sing digunakake dening akeh pangembang.
Contone, owah-owahan sing ditindakake bakal nglindhungi sumber proyek yen akun pangembang salah sawijining dependensi NPM dikompromi lan panyerang ngasilake nganyari paket kanthi kode ala.
Wigati dicathet yen Sigstore ora mung alat tandha kode liyane, amarga pendekatan normal yaiku ngilangi kabutuhan kanggo ngatur kunci tandha kanthi nerbitake kunci jangka pendek adhedhasar identitas OpenID Connect (OIDC), nalika ing wektu sing padha ngrekam tumindak kasebut. ing buku besar sing ora bisa diganti sing diarani rekor, saliyane Sigstore duwe wewenang sertifikasi dhewe sing diarani Fulcio
Thanks kanggo tingkat perlindungan anyar, pangembang bakal bisa kanggo link paket kui karo kode sumber digunakake lan lingkungan mbangun, menehi pangguna kesempatan kanggo verifikasi manawa isi paket kasebut cocog karo isi sumber ing repositori proyek utama.
Panggunaan Sigstore nemen simplifies proses manajemen tombol lan ngilangi kerumitan sing ana gandhengane karo registrasi, pencabutan, lan manajemen kunci kriptografi. Sigstore promosiake dhewe minangka Ayo Encrypt kanggo kode, nyedhiyakake sertifikat kanggo kode tandha digital lan alat kanggo ngotomatisasi verifikasi.
Kita mbukak Panjaluk Komentar (RFC) anyar dina iki, sing katon ngiket paket menyang repositori sumber lan mbangun lingkungan. Nalika panyedhiya paket milih sistem iki, konsumen saka paket kasebut bisa luwih yakin yen isi paket kasebut cocog karo isi gudang sing disambung.
Tinimbang kunci permanen, Sigstore nggunakake tombol ephemeral cendhak sing digawe adhedhasar ijin. Materi sing digunakake kanggo teken dibayangke ing rekaman umum sing dilindhungi modifikasi, ngidini sampeyan kanggo mesthekake yen penulis teken iku persis sing padha ngomong, lan teken iki kawangun dening peserta padha tanggung jawab.
Proyek kasebut wis diadopsi awal karo ekosistem manajer paket liyane. Kanthi RFC saiki, kita ngusulake kanggo nambah dhukungan kanggo tandha end-to-end saka paket npm nggunakake Sigstore. Proses iki bakal kalebu generasi sertifikasi babagan ngendi, kapan lan carane paket digawe, supaya bisa diverifikasi mengko.
Kanggo njamin integritas lan pangayoman marang korupsi data, struktur wit Merkle Tree digunakake ing ngendi saben cabang mriksa kabeh cabang lan kelenjar sing ndasari liwat hash gabungan (wit). Kanthi nduwe hash mburine, pangguna bisa verifikasi bener kabeh riwayat operasi, uga bener negara basis data sing kepungkur (hash mriksa root saka negara basis data anyar diwilang nimbang kahanan kepungkur).
Pungkasan, kudu dingerteni manawa Sigstore dikembangake bebarengan dening Linux Foundation, Google, Red Hat, Universitas Purdue, lan Chainguard.
Yen sampeyan pengin ngerti luwih lengkap babagan iki, sampeyan bisa takon rincian ing link ing ngisor iki.
Dadi pisanan komentar