NPM ನಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ಪರಿಶೀಲನೆಗಾಗಿ Sigstore ಬಳಸಲು ಸಲಹೆ ನೀಡಿ

ಎಂದು ಸುದ್ದಿ ಬಿಡುಗಡೆ ಮಾಡಿದೆ GitHub ನಲ್ಲಿ ಅನುಷ್ಠಾನಕ್ಕೆ ಪ್ರಸ್ತಾವನೆಯನ್ನು ಚರ್ಚೆಗೆ ಇಡಲಾಗಿದೆ ಸೇವೆ ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಸಿಗ್‌ಸ್ಟೋರ್ ಡಿಜಿಟಲ್ ಸಹಿಗಳೊಂದಿಗೆ ಮತ್ತು ಬಿಡುಗಡೆಗಳನ್ನು ವಿತರಿಸುವಾಗ ದೃಢೀಕರಣವನ್ನು ಖಚಿತಪಡಿಸಲು ಸಾರ್ವಜನಿಕ ದಾಖಲೆಯನ್ನು ನಿರ್ವಹಿಸಿ.

ಪ್ರಸ್ತಾಪದ ಬಗ್ಗೆ ಸಿಗ್ಸ್ಟೋರ್ ಬಳಕೆಯನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಹೆಚ್ಚುವರಿ ಮಟ್ಟದ ರಕ್ಷಣೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಸಾಫ್ಟ್‌ವೇರ್ ಘಟಕಗಳು ಮತ್ತು ಅವಲಂಬನೆಗಳನ್ನು (ಪೂರೈಕೆ ಸರಪಳಿ) ಬದಲಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ದಾಳಿಗಳ ವಿರುದ್ಧ.

ಸಾಫ್ಟ್‌ವೇರ್ ಪೂರೈಕೆ ಸರಪಳಿಯನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸುವುದು ಇದೀಗ ನಮ್ಮ ಉದ್ಯಮವನ್ನು ಎದುರಿಸುತ್ತಿರುವ ಅತಿದೊಡ್ಡ ಭದ್ರತಾ ಸವಾಲುಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಈ ಪ್ರಸ್ತಾಪವು ಪ್ರಮುಖ ಮುಂದಿನ ಹಂತವಾಗಿದೆ, ಆದರೆ ಈ ಸವಾಲನ್ನು ನಿಜವಾಗಿಯೂ ಪರಿಹರಿಸಲು ಸಮುದಾಯದಾದ್ಯಂತ ಬದ್ಧತೆ ಮತ್ತು ಹೂಡಿಕೆಯ ಅಗತ್ಯವಿರುತ್ತದೆ…

ಈ ಬದಲಾವಣೆಗಳು ಓಪನ್ ಸೋರ್ಸ್ ಗ್ರಾಹಕರನ್ನು ಸಾಫ್ಟ್‌ವೇರ್ ಪೂರೈಕೆ ಸರಣಿ ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ; ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ದುರುದ್ದೇಶಪೂರಿತ ಬಳಕೆದಾರರು ನಿರ್ವಾಹಕರ ಖಾತೆಯನ್ನು ಉಲ್ಲಂಘಿಸುವ ಮೂಲಕ ಮತ್ತು ಅನೇಕ ಡೆವಲಪರ್‌ಗಳು ಬಳಸುವ ಓಪನ್ ಸೋರ್ಸ್ ಅವಲಂಬನೆಗಳಿಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಮಾಲ್‌ವೇರ್ ಅನ್ನು ಹರಡಲು ಪ್ರಯತ್ನಿಸಿದಾಗ.

ಉದಾಹರಣೆಗೆ, NPM ಅವಲಂಬನೆಗಳಲ್ಲಿ ಒಂದರ ಡೆವಲಪರ್ ಖಾತೆಗೆ ಧಕ್ಕೆಯುಂಟಾದರೆ ಮತ್ತು ಆಕ್ರಮಣಕಾರರು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್‌ನೊಂದಿಗೆ ಪ್ಯಾಕೇಜ್ ನವೀಕರಣವನ್ನು ರಚಿಸುವ ಸಂದರ್ಭದಲ್ಲಿ ಅಳವಡಿಸಲಾದ ಬದಲಾವಣೆಯು ಯೋಜನೆಯ ಮೂಲಗಳನ್ನು ರಕ್ಷಿಸುತ್ತದೆ.

ಸಿಗ್‌ಸ್ಟೋರ್ ಮತ್ತೊಂದು ಕೋಡ್ ಸಹಿ ಮಾಡುವ ಸಾಧನವಲ್ಲ ಎಂದು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ, ಏಕೆಂದರೆ ಅದರ ಸಾಮಾನ್ಯ ವಿಧಾನವೆಂದರೆ ಓಪನ್ ಐಡಿ ಕನೆಕ್ಟ್ (ಒಐಡಿಸಿ) ಗುರುತುಗಳ ಆಧಾರದ ಮೇಲೆ ಅಲ್ಪಾವಧಿಯ ಕೀಗಳನ್ನು ನೀಡುವ ಮೂಲಕ ಸಹಿ ಕೀಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಅಗತ್ಯವನ್ನು ತೆಗೆದುಹಾಕುವುದು, ಅದೇ ಸಮಯದಲ್ಲಿ ಕ್ರಿಯೆಗಳನ್ನು ದಾಖಲಿಸುತ್ತದೆ. ರೆಕಾರ್ ಎಂಬ ಅಸ್ಥಿರ ಲೆಡ್ಜರ್‌ನಲ್ಲಿ, ಅದರ ಜೊತೆಗೆ ಸಿಗ್‌ಸ್ಟೋರ್ ತನ್ನದೇ ಆದ ಪ್ರಮಾಣೀಕರಣ ಅಧಿಕಾರವನ್ನು ಫುಲ್ಸಿಯೊ ಹೊಂದಿದೆ

ಹೊಸ ಮಟ್ಟದ ರಕ್ಷಣೆಗೆ ಧನ್ಯವಾದಗಳು, ಡೆವಲಪರ್‌ಗಳು ರಚಿಸಿದ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಬಳಸಿದ ಮೂಲ ಕೋಡ್‌ನೊಂದಿಗೆ ಲಿಂಕ್ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ ಮತ್ತು ನಿರ್ಮಾಣ ಪರಿಸರ, ಪ್ಯಾಕೇಜಿನ ವಿಷಯವು ಮುಖ್ಯ ಪ್ರಾಜೆಕ್ಟ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿರುವ ಮೂಲಗಳ ವಿಷಯಕ್ಕೆ ಅನುಗುಣವಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲು ಬಳಕೆದಾರರಿಗೆ ಅವಕಾಶವನ್ನು ನೀಡುತ್ತದೆ.

ಸಿಗ್ಸ್ಟೋರ್ನ ಬಳಕೆ ಪ್ರಮುಖ ನಿರ್ವಹಣಾ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಹೆಚ್ಚು ಸರಳಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ನೋಂದಣಿ, ಹಿಂತೆಗೆದುಕೊಳ್ಳುವಿಕೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀ ನಿರ್ವಹಣೆಗೆ ಸಂಬಂಧಿಸಿದ ಸಂಕೀರ್ಣತೆಗಳನ್ನು ನಿವಾರಿಸುತ್ತದೆ. ಸಿಗ್‌ಸ್ಟೋರ್ ಕೋಡ್‌ಗಾಗಿ ಲೆಟ್ಸ್ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಎಂದು ಪ್ರಚಾರ ಮಾಡುತ್ತದೆ, ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡುವ ಕೋಡ್‌ಗಾಗಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮತ್ತು ಪರಿಶೀಲನೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಸಾಧನಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ.

ನಾವು ಇಂದು ಹೊಸ ಕಾಮೆಂಟ್‌ಗಳಿಗಾಗಿ ವಿನಂತಿಯನ್ನು (RFC) ತೆರೆಯುತ್ತಿದ್ದೇವೆ, ಇದು ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಅದರ ಮೂಲ ಭಂಡಾರಕ್ಕೆ ಬಂಧಿಸಲು ಮತ್ತು ಪರಿಸರವನ್ನು ನಿರ್ಮಿಸಲು ನೋಡುತ್ತದೆ. ಪ್ಯಾಕೇಜ್ ನಿರ್ವಾಹಕರು ಈ ವ್ಯವಸ್ಥೆಯನ್ನು ಆರಿಸಿಕೊಂಡಾಗ, ತಮ್ಮ ಪ್ಯಾಕೇಜ್‌ಗಳ ಗ್ರಾಹಕರು ಪ್ಯಾಕೇಜ್‌ನ ವಿಷಯವು ಲಿಂಕ್ ಮಾಡಿದ ರೆಪೊಸಿಟರಿಯ ವಿಷಯಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗುತ್ತದೆ ಎಂದು ಹೆಚ್ಚು ವಿಶ್ವಾಸ ಹೊಂದಬಹುದು.

ಶಾಶ್ವತ ಕೀಗಳ ಬದಲಿಗೆ, Sigstore ಅನುಮತಿಗಳ ಆಧಾರದ ಮೇಲೆ ರಚಿಸಲಾದ ಅಲ್ಪಾವಧಿಯ ಅಲ್ಪಕಾಲಿಕ ಕೀಗಳನ್ನು ಬಳಸುತ್ತದೆ. ಸಹಿಗಾಗಿ ಬಳಸಲಾದ ವಸ್ತುವು ಮಾರ್ಪಾಡು-ರಕ್ಷಿತ ಸಾರ್ವಜನಿಕ ದಾಖಲೆಯಲ್ಲಿ ಪ್ರತಿಬಿಂಬಿತವಾಗಿದೆ, ಸಹಿಯ ಲೇಖಕರು ಅವರು ನಿಖರವಾಗಿ ಅವರು ಹೇಳುತ್ತಾರೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ ಮತ್ತು ಸಹಿಯನ್ನು ಜವಾಬ್ದಾರರಾಗಿರುವ ಅದೇ ಭಾಗವಹಿಸುವವರು ರಚಿಸಿದ್ದಾರೆ.

ಯೋಜನೆಯು ಇತರ ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಗಳೊಂದಿಗೆ ಆರಂಭಿಕ ಅಳವಡಿಕೆಯನ್ನು ಕಂಡಿದೆ. ಇಂದಿನ RFC ಯೊಂದಿಗೆ, Sigstore ಅನ್ನು ಬಳಸಿಕೊಂಡು npm ಪ್ಯಾಕೇಜುಗಳ ಅಂತ್ಯದಿಂದ ಅಂತ್ಯಕ್ಕೆ ಸಹಿ ಮಾಡಲು ನಾವು ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲು ಪ್ರಸ್ತಾಪಿಸುತ್ತೇವೆ. ಈ ಪ್ರಕ್ರಿಯೆಯು ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಎಲ್ಲಿ, ಯಾವಾಗ ಮತ್ತು ಹೇಗೆ ರಚಿಸಲಾಗಿದೆ ಎಂಬುದರ ಕುರಿತು ಪ್ರಮಾಣೀಕರಣಗಳ ಉತ್ಪಾದನೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಇದರಿಂದ ಅದನ್ನು ನಂತರ ಪರಿಶೀಲಿಸಬಹುದು.

ಸಮಗ್ರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು ಡೇಟಾ ಭ್ರಷ್ಟಾಚಾರದ ವಿರುದ್ಧ ರಕ್ಷಣೆ, ಮರ್ಕಲ್ ಟ್ರೀ ಮರದ ರಚನೆಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ ಇದರಲ್ಲಿ ಪ್ರತಿಯೊಂದು ಶಾಖೆಯು ಜಂಟಿ ಹ್ಯಾಶ್ (ಮರ) ಮೂಲಕ ಎಲ್ಲಾ ಆಧಾರವಾಗಿರುವ ಶಾಖೆಗಳು ಮತ್ತು ನೋಡ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಟ್ರೇಲಿಂಗ್ ಹ್ಯಾಶ್ ಅನ್ನು ಹೊಂದುವ ಮೂಲಕ, ಬಳಕೆದಾರರು ಸಂಪೂರ್ಣ ಕಾರ್ಯಾಚರಣೆಯ ಇತಿಹಾಸದ ಸರಿಯಾಗಿರುವುದನ್ನು ಪರಿಶೀಲಿಸಬಹುದು, ಹಾಗೆಯೇ ಹಿಂದಿನ ಡೇಟಾಬೇಸ್ ಸ್ಥಿತಿಗಳ ಸರಿಯಾದತೆಯನ್ನು ಪರಿಶೀಲಿಸಬಹುದು (ಹೊಸ ಡೇಟಾಬೇಸ್ ಸ್ಥಿತಿಯ ರೂಟ್ ಚೆಕ್ ಹ್ಯಾಶ್ ಅನ್ನು ಹಿಂದಿನ ಸ್ಥಿತಿಯನ್ನು ಪರಿಗಣಿಸಿ ಲೆಕ್ಕಹಾಕಲಾಗುತ್ತದೆ).

ಅಂತಿಮವಾಗಿ, ಸಿಗ್‌ಸ್ಟೋರ್ ಅನ್ನು ಲಿನಕ್ಸ್ ಫೌಂಡೇಶನ್, ಗೂಗಲ್, ರೆಡ್ ಹ್ಯಾಟ್, ಪರ್ಡ್ಯೂ ವಿಶ್ವವಿದ್ಯಾಲಯ ಮತ್ತು ಚೈನ್‌ಗಾರ್ಡ್ ಜಂಟಿಯಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದೆ ಎಂದು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ.

ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಬಯಸಿದರೆ, ನೀವು ವಿವರಗಳನ್ನು ಸಂಪರ್ಕಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.