NPM හි පැකේජ සත්‍යාපනය සඳහා Sigstore භාවිතා කිරීමට යෝජනා කරන්න

යනුවෙන් ප්‍රවෘත්තිය නිකුත් විය GitHub මත ක්‍රියාත්මක කිරීම සඳහා යෝජනාවක් සාකච්ඡාවට ඉදිරිපත් කර ඇත සේවාව පැකේජ සත්‍යාපනය කිරීමට Sigstore ඩිජිටල් අත්සන් සහිතව සහ නිකුතු බෙදා හැරීමේදී සත්‍යතාව තහවුරු කිරීම සඳහා පොදු වාර්තාවක් පවත්වාගෙන යාම.

යෝජනාව ගැන Sigstore භාවිතා කරන බව සඳහන් වේ අතිරේක මට්ටමේ ආරක්ෂාවක් ක්රියාත්මක කිරීමට ඉඩ ලබා දෙනු ඇත මෘදුකාංග සංරචක සහ පරායත්තතා (සැපයුම් දාමය) ප්‍රතිස්ථාපනය කිරීම අරමුණු කරගත් ප්‍රහාරවලට එරෙහිව.

මෘදුකාංග සැපයුම් දාමය සුරක්ෂිත කිරීම දැන් අපගේ කර්මාන්තය මුහුණ දෙන විශාලතම ආරක්ෂක අභියෝගයකි. මෙම යෝජනාව වැදගත් මීළඟ පියවරකි, නමුත් මෙම අභියෝගය සැබවින්ම විසඳීම සඳහා ප්‍රජාව හරහා කැපවීම සහ ආයෝජන අවශ්‍ය වේ…

මෙම වෙනස්කම් විවෘත මූලාශ්‍ර පාරිභෝගිකයින් මෘදුකාංග සැපයුම් දාම ප්‍රහාරවලින් ආරක්ෂා කිරීමට උපකාරී වේ; වෙනත් වචන වලින් කිවහොත්, අනිෂ්ට පරිශීලකයන් නඩත්තු කරන්නෙකුගේ ගිණුමක් උල්ලංඝනය කිරීමෙන් සහ බොහෝ සංවර්ධකයින් විසින් භාවිතා කරන විවෘත මූලාශ්‍ර පරායත්තතා වලට අනිෂ්ට මෘදුකාංග එකතු කිරීමෙන් අනිෂ්ට මෘදුකාංග ව්‍යාප්ත කිරීමට උත්සාහ කරන විට.

උදාහරණයක් ලෙස, NPM පරායත්තතාවයෙන් එකක සංවර්ධක ගිණුම අවදානමට ලක්වුවහොත් සහ ප්‍රහාරකයෙකු අනිෂ්ට කේතයක් සහිත පැකේජ යාවත්කාලීනයක් උත්පාදනය කළහොත් ක්‍රියාත්මක කරන ලද වෙනස් කිරීම ව්‍යාපෘති මූලාශ්‍ර ආරක්ෂා කරයි.

Sigstore යනු තවත් කේත අත්සන් කිරීමේ මෙවලමක් නොවන බව සඳහන් කිරීම වටී, එහි සාමාන්‍ය ප්‍රවේශය වන්නේ ක්‍රියාවන් වාර්තා කරන අවස්ථාවේදීම OpenID Connect (OIDC) අනන්‍යතා මත පදනම්ව කෙටි කාලීන යතුරු නිකුත් කිරීමෙන් අත්සන් කිරීමේ යතුරු කළමනාකරණය කිරීමේ අවශ්‍යතාවය ඉවත් කිරීමයි. rekor නම් වෙනස් කළ නොහැකි ලෙජරයක, ඊට අමතරව Sigstore සතුව Fulcio නම් සහතික කිරීමේ අධිකාරියක් ඇත

නව මට්ටමේ ආරක්ෂණයට ස්තූතියි, සංවර්ධකයින්ට ජනනය කරන ලද පැකේජය භාවිතා කරන ලද මූල කේතය සමඟ සම්බන්ධ කිරීමට හැකි වනු ඇත සහ ගොඩනැගීම පරිසරය, පැකේජයේ අන්තර්ගතය ප්‍රධාන ව්‍යාපෘති ගබඩාවේ ඇති මූලාශ්‍රවල අන්තර්ගතයට අනුරූප වන බව තහවුරු කිරීමට පරිශීලකයාට අවස්ථාව ලබා දෙයි.

Sigstore භාවිතය ප්රධාන කළමනාකරණ ක්රියාවලිය බෙහෙවින් සරල කරයි සහ ලියාපදිංචිය, අවලංගු කිරීම සහ ගුප්තකේතන යතුරු කළමනාකරණය සම්බන්ධ සංකීර්ණතා ඉවත් කරයි. Sigstore කේතය සඳහා සංකේතනය කරමු ලෙස ප්‍රවර්ධනය කරයි, ඩිජිටල් ලෙස අත්සන් කිරීමේ කේතය සඳහා සහතික සහ සත්‍යාපනය ස්වයංක්‍රීය කිරීමට මෙවලම් සපයයි.

අපි අද නව අදහස් සඳහා ඉල්ලීමක් (RFC) විවෘත කරන්නෙමු, එය පැකේජයක් එහි මූලාශ්‍ර ගබඩාවට බැඳීම සහ පරිසරය ගොඩනැගීම දෙස බලයි. පැකේජ නඩත්තු කරන්නන් මෙම පද්ධතිය සඳහා තෝරා ගත් විට, ඔවුන්ගේ පැකේජවල පාරිභෝගිකයින්ට පැකේජයේ අන්තර්ගතය සම්බන්ධිත ගබඩාවේ අන්තර්ගතයට ගැළපෙන බවට වැඩි විශ්වාසයක් ඇති කර ගත හැකිය.

ස්ථිර යතුරු වෙනුවට, Sigstore අවසර මත පදනම්ව ජනනය කරන කෙටි කාලීන එෆීමර් යතුරු භාවිතා කරයි. අත්සන සඳහා භාවිතා කරන ලද ද්‍රව්‍ය වෙනස් කිරීම්-ආරක්ෂිත පොදු වාර්තාවකින් පිළිබිඹු වන අතර, අත්සනෙහි කතුවරයා හරියටම ඔවුන් පවසන අය බව සහතික කිරීමට ඔබට ඉඩ සලසයි, සහ අත්සන සෑදී ඇත්තේ වගකිව යුතු එකම සහභාගිකයා විසිනි.

ව්‍යාපෘතිය වෙනත් පැකේජ කළමණාකරණ පරිසර පද්ධති සමඟ කලින් සම්මත වී ඇත. අද RFC සමඟින්, අපි Sigstore භාවිතයෙන් npm පැකේජවල අවසානය දක්වා අත්සන් කිරීම සඳහා සහය එක් කිරීමට යෝජනා කරමු. මෙම ක්‍රියාවලියට පැකේජය නිර්මාණය කළේ කොතැනද, කවදාද සහ කෙසේද යන්න පිළිබඳ සහතික උත්පාදනය ඇතුළත් වන අතර එමඟින් එය පසුව සත්‍යාපනය කළ හැක.

අඛණ්ඩතාව සහතික කිරීම සඳහා සහ දත්ත දූෂණයෙන් ආරක්ෂා වීම, මර්කල් ගස් ව්‍යුහයක් භාවිතා වේ එක් එක් ශාඛාව ඒකාබද්ධ හෑෂ් (ගස) හරහා යටින් පවතින සියලුම ශාඛා සහ නෝඩ් පරීක්ෂා කරයි. පසුපස හෑෂ් එකක් තිබීමෙන්, පරිශීලකයාට සම්පූර්ණ මෙහෙයුම් ඉතිහාසයෙහි නිවැරදිභාවය මෙන්ම අතීත දත්ත සමුදා තත්ත්වයන්හි නිරවද්‍යතාව තහවුරු කළ හැක (නව දත්ත සමුදා තත්ත්වයෙහි මූල චෙක්පත හැෂ් ගණනය කරනු ලබන්නේ පසුගිය තත්ත්වය සැලකිල්ලට ගෙනය).

අවසාන වශයෙන්, සිග්ස්ටෝර් ලිනක්ස් පදනම, ගූගල්, රෙඩ් හැට්, පර්ඩියු විශ්ව විද්‍යාලය සහ චේන්ගාඩ් විසින් ඒකාබද්ධව සංවර්ධනය කර ඇති බව සඳහන් කිරීම වටී.

ඔබට ඒ ගැන වැඩි විස්තර දැන ගැනීමට අවශ්‍ය නම්, ඔබට එහි විස්තර විමසා බැලිය හැක පහත සබැඳිය.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.