Warka ayaa lagu sheegay in on GitHub soo jeedin ayaa la sameeyay si looga doodo si loo fuliyo adeegga Sigstore si loo xaqiijiyo xirmooyinka oo leh saxeexyo dhijitaal ah oo ilaali diiwaanka dadweynaha si loo xaqiijiyo xaqiiqada marka la qaybinayo sii daynta.
Ku saabsan soo jeedinta waxaa lagu xusay in isticmaalka Sigstore waxay ogolaan doontaa in la fuliyo heer ilaalin dheeraad ah ka dhanka ah weerarrada loogu talagalay in lagu beddelo qaybaha software-ka iyo ku-tiirsanaanta (silsiladda saadka).
Sugidda silsiladda sahayda software-ku waa mid ka mid ah caqabadaha ugu weyn ee amniga hortaagan warshadeena hadda. Soo jeedintan waa tillaabada xigta ee muhiimka ah, laakiin si dhab ah xallinta caqabadan waxay u baahan doontaa ballanqaad iyo maalgashi bulshada oo dhan ah…
Isbeddelladani waxay caawiyaan inay ka ilaaliyaan macaamiisha isha furan weerarrada silsiladda sahayda software; Si kale haddii loo dhigo, marka isticmaalayaasha xaasidnimadu ay isku dayaan inay faafiyaan malware iyagoo jebiya koontada ilaaliye oo ay ku daraan malware-ka ku tiirsanaanta isha furan ee ay adeegsadaan horumariyayaal badan.
Tusaale ahaan, isbeddelka la hirgeliyay wuxuu ilaalin doonaa ilaha mashruuca haddii koontada horumariyaha ee mid ka mid ah ku-tiirsanaanta NPM la jabiyo oo weeraruhu soo saaro cusboonaysiin xirmo leh kood xaasidnimo ah.
Waxaa xusid mudan in Sigstore uusan ahayn oo kaliya qalab kale oo saxeexa koodka, maadaama habka caadiga ah uu yahay in meesha laga saaro baahida loo qabo in lagu maareeyo furayaasha saxiixa iyada oo la soo saarayo furayaal waqti-gaaban oo ku saleysan aqoonsiga OpenID Connect (OIDC), isla mar ahaantaana la diiwaangeliyo ficillada. Ledger aan beddelmi karin oo loo yaqaan rekor, ka sokow Sigstore wuxuu leeyahay awood shahaado u gaar ah oo loo yaqaan Fulcio
Waad ku mahadsan tahay heerka cusub ee ilaalinta, horumariyayaashu waxay awoodi doonaan inay ku xidhaan xidhmada la soo saaray iyo koodhka isha ee la isticmaalay iyo deegaanka la dhiso, siinta isticmaalaha fursad uu ku xaqiijiyo in waxa ku jira xirmo u dhigma waxa ku jira ilaha ee kaydka mashruuca ugu weyn.
Isticmaalka Sigstore waxay si weyn u fududaysaa habka maaraynta muhiimka ah wuxuuna meesha ka saarayaa cakiran ee la xidhiidha diiwaangelinta, burinta, iyo maamulka furaha sirta ah. Sigstore wuxuu isu dhiirrigeliyaa inaynu sir u dhigno koodka, isagoo siinaya shahaadooyin saxeexa dhijitaalka ah ee koodka iyo agabka si otomaatig ah loogu xaqiijiyo.
Waxaan furaynaa Codsi cusub oo faallooyin ah (RFC) maanta, kaas oo eegaya ku xidhidhiyaha baakadka kaydka isha iyo dhismaha deegaanka. Marka ilaaliyayaasha baakadu ay doortaan nidaamkan, macaamiisha xirmooyinkooda waxay yeelan karaan kalsooni dheeraad ah in waxa ku jira baakadda ay la mid tahay waxa ku jira kaydka ku xidhan.
Halkii furayaasha joogtada ah, Sigstore waxa ay isticmaashaa furayaasha ephemeral-gaaban ee la soo saaray iyadoo lagu salaynayo ogolaanshaha. Qalabka loo isticmaalo saxeexa waxa uu ka muuqdaa diiwaanka guud ee waxka bedelka lagu ilaaliyo, taas oo kuu ogolaanaysa inaad hubiso in qoraaga saxeexu yahay kan saxda ah ee ay sheegaan inay yihiin, saxeexa waxa sameeyay isla ka qaybgalayaashii masuulka ka ahaa.
Mashruucu wuxuu arkay korsashada hore ee nidaamyada deegaanka ee maamulaha xirmada. RFC-da maanta, waxaan soo jeedineynaa in aan ku darno taageerada saxiixa dhamaadka-ilaa-dhamaadka ee xirmooyinka npm iyadoo la adeegsanayo Sigstore. Nidaamkan waxaa ku jiri doona soo saarista shahaadooyinka ku saabsan halka, goorta iyo sida loo sameeyay xirmada, si mar dambe loo xaqiijiyo.
Si loo hubiyo daacadnimada iyo ilaalinta musuqmaasuqa xogta, qaab dhismeedka geedka Merkle Tree ayaa la isticmaalaa taas oo laan kastaa ay ku hubiso dhammaan laamaha iyo qanjidhada hoose iyada oo loo marayo xashiish wadajir ah (geed). Marka uu haysto xashiish raad raac ah, isticmaaluhu waxa uu xaqiijin karaa sax ahaanshaha taariikhda hawlgalka oo dhan, iyo sidoo kale saxnaanta xogta xogta ee hore (xashka jeegga xididka ee xogta xogta cusub waxa la xisaabiyaa iyada oo la tixgelinayo xaaladdii hore).
Ugu dambeyntii, waxaa xusid mudan in Sigstore ay si wadajir ah u soo saareen Linux Foundation, Google, Koofiyada Cas, Jaamacadda Purdue, iyo Chainguard.
Haddii aad rabto inaad wax badan ka ogaato, waxaad kala tashan kartaa faahfaahinta gudaha xiriirka soo socda.