असे वृत्त प्रसिद्ध करण्यात आले GitHub वर अंमलबजावणीसाठी चर्चेसाठी प्रस्ताव ठेवण्यात आला आहे सेवा पॅकेजेस सत्यापित करण्यासाठी सिगस्टोर डिजिटल स्वाक्षरीसह आणि प्रकाशनांचे वितरण करताना सत्यतेची पुष्टी करण्यासाठी सार्वजनिक रेकॉर्ड ठेवा.
या प्रस्तावाबाबत सिगस्टोअरचा वापर करण्याचा उल्लेख आहे संरक्षणाची अतिरिक्त पातळी लागू करण्यास अनुमती देईल सॉफ्टवेअर घटक आणि अवलंबित्व (पुरवठा साखळी) बदलण्याच्या उद्देशाने हल्ल्यांविरूद्ध.
सॉफ्टवेअर पुरवठा साखळी सुरक्षित करणे हे सध्या आमच्या उद्योगासमोरील सर्वात मोठे सुरक्षा आव्हान आहे. हा प्रस्ताव एक महत्त्वाचा पुढचा टप्पा आहे, परंतु खरोखरच हे आव्हान सोडवण्यासाठी संपूर्ण समुदायाकडून बांधिलकी आणि गुंतवणूक आवश्यक आहे…
हे बदल ओपन सोर्स ग्राहकांना सॉफ्टवेअर पुरवठा साखळी हल्ल्यांपासून संरक्षण करण्यात मदत करतात; दुसऱ्या शब्दांत, जेव्हा दुर्भावनापूर्ण वापरकर्ते मेंटेनरच्या खात्याचा भंग करून मालवेअर पसरवण्याचा प्रयत्न करतात आणि अनेक विकसकांद्वारे वापरल्या जाणार्या ओपन सोर्स अवलंबनांमध्ये दुर्भावनापूर्ण सॉफ्टवेअर जोडतात.
उदाहरणार्थ, NPM अवलंबित्वांपैकी एकाच्या विकासकाच्या खात्याशी तडजोड झाल्यास आणि आक्रमणकर्त्याने दुर्भावनापूर्ण कोडसह पॅकेज अपडेट व्युत्पन्न केल्यास, लागू केलेला बदल प्रकल्प स्त्रोतांचे संरक्षण करेल.
हे लक्षात घेण्यासारखे आहे की सिगस्टोर हे फक्त दुसरे कोड साइनिंग साधन नाही, कारण त्याचा सामान्य दृष्टीकोन म्हणजे ओपनआयडी कनेक्ट (ओआयडीसी) ओळखांवर आधारित अल्प-मुदतीच्या की जारी करून साइनिंग की व्यवस्थापित करण्याची गरज दूर करणे, त्याच वेळी क्रिया रेकॉर्ड करणे. रेकोर नावाच्या अपरिवर्तनीय लेजरमध्ये, त्याव्यतिरिक्त सिगस्टोरकडे फुलसिओ नावाचे स्वतःचे प्रमाणन प्राधिकरण आहे
संरक्षणाच्या नवीन स्तराबद्दल धन्यवाद, विकसक वापरलेल्या स्त्रोत कोडसह व्युत्पन्न पॅकेजशी दुवा साधण्यास सक्षम असतील आणि बिल्ड वातावरण, वापरकर्त्यास पॅकेजची सामग्री मुख्य प्रकल्प रेपॉजिटरीमधील स्त्रोतांच्या सामग्रीशी संबंधित आहे हे सत्यापित करण्याची संधी देते.
सिगस्टोरचा वापर मुख्य व्यवस्थापन प्रक्रिया मोठ्या प्रमाणात सुलभ करते आणि नोंदणी, रद्दीकरण आणि क्रिप्टोग्राफिक की व्यवस्थापनाशी संबंधित गुंतागुंत दूर करते. सिगस्टोर स्वतःला कोडसाठी लेट्स एन्क्रिप्ट म्हणून प्रोत्साहन देते, डिजिटल स्वाक्षरी कोडसाठी प्रमाणपत्रे आणि स्वयंचलित सत्यापनासाठी साधने प्रदान करते.
आम्ही आज टिप्पण्यांसाठी एक नवीन विनंती (RFC) उघडत आहोत, जे पॅकेजला त्याच्या स्त्रोत भांडार आणि बिल्ड वातावरणाशी बंधनकारक करते. जेव्हा पॅकेज मेंटेनर या प्रणालीची निवड करतात, तेव्हा त्यांच्या पॅकेजचे ग्राहक अधिक विश्वास ठेवू शकतात की पॅकेजची सामग्री लिंक केलेल्या रेपॉजिटरीच्या सामग्रीशी जुळते.
कायम चाव्या ऐवजी, Sigstore परवानग्यांच्या आधारे व्युत्पन्न केलेल्या अल्पकालीन अल्पकालीन की वापरते. स्वाक्षरीसाठी वापरलेली सामग्री सुधारणे-संरक्षित सार्वजनिक रेकॉर्डमध्ये परावर्तित केली जाते, ज्यामुळे तुम्हाला हे सुनिश्चित करण्याची परवानगी मिळते की स्वाक्षरीचा लेखक नेमका कोण आहे असे ते म्हणतात आणि स्वाक्षरी त्याच सहभागीने तयार केली होती जो जबाबदार होता.
या प्रकल्पाने इतर पॅकेज मॅनेजर इकोसिस्टमसह लवकर दत्तक घेतले आहे. आजच्या RFC सह, आम्ही सिगस्टोर वापरून एनपीएम पॅकेजेसच्या एंड-टू-एंड साइनिंगसाठी समर्थन जोडण्याचा प्रस्ताव देतो. या प्रक्रियेमध्ये पॅकेज कुठे, केव्हा आणि कसे तयार केले गेले याबद्दल प्रमाणपत्रे तयार करणे समाविष्ट असेल, जेणेकरून ते नंतर सत्यापित केले जाऊ शकते.
सचोटी सुनिश्चित करण्यासाठी आणि डेटा भ्रष्टाचारापासून संरक्षण, मर्कल ट्री झाडाची रचना वापरली जाते ज्यामध्ये प्रत्येक शाखा संयुक्त हॅश (वृक्ष) द्वारे सर्व अंतर्निहित शाखा आणि नोड्स तपासते. ट्रेलिंग हॅश ठेवून, वापरकर्ता संपूर्ण ऑपरेशन इतिहासाची अचूकता तसेच मागील डेटाबेस स्थितीची शुद्धता सत्यापित करू शकतो (नवीन डेटाबेस स्थितीचे मूळ चेक हॅश मागील स्थितीचा विचार करून गणना केली जाते).
शेवटी, हे लक्षात घेण्यासारखे आहे की सिगस्टोर हे लिनक्स फाउंडेशन, गुगल, रेड हॅट, पर्ड्यू युनिव्हर्सिटी आणि चेनगार्ड यांनी संयुक्तपणे विकसित केले आहे.
तुम्हाला याबद्दल अधिक जाणून घ्यायचे असल्यास, तुम्ही मधील तपशीलांचा सल्ला घेऊ शकता खालील दुवा.