Lajmi u bë i ditur se në GitHub një propozim është vënë për diskutim për t'u zbatuar shërbimi Sigstore për të verifikuar paketat me nënshkrime dixhitale dhe të mbajë një regjistër publik për të konfirmuar vërtetësinë gjatë shpërndarjes së publikimeve.
Rreth propozimit përmendet se përdorimi i Sigstore do të lejojë zbatimin e një niveli shtesë mbrojtjeje kundër sulmeve që synojnë zëvendësimin e komponentëve dhe varësive të softuerit (zinxhiri i furnizimit).
Sigurimi i zinxhirit të furnizimit të softuerit është një nga sfidat më të mëdha të sigurisë me të cilat përballet industria jonë tani. Ky propozim është një hap tjetër i rëndësishëm, por zgjidhja e vërtetë e kësaj sfide do të kërkojë angazhim dhe investim nga i gjithë komuniteti…
Këto ndryshime ndihmojnë në mbrojtjen e konsumatorëve me burim të hapur nga sulmet e zinxhirit të furnizimit të softuerit; me fjalë të tjera, kur përdoruesit me qëllim të keq përpiqen të përhapin malware duke shkelur llogarinë e një mirëmbajtësi dhe duke shtuar softuer me qëllim të keq në varësitë me burim të hapur të përdorur nga shumë zhvillues.
Për shembull, ndryshimi i zbatuar do të mbrojë burimet e projektit në rast se llogaria e zhvilluesit të njërës prej varësive NPM komprometohet dhe një sulmues gjeneron një përditësim të paketës me kod me qëllim të keq.
Vlen të përmendet se Sigstore nuk është thjesht një mjet tjetër për nënshkrimin e kodit, pasi qasja e tij normale është të eliminojë nevojën për të menaxhuar çelësat e nënshkrimit duke lëshuar çelësa afatshkurtër bazuar në identitetet OpenID Connect (OIDC), në të njëjtën kohë me regjistrimin e veprimeve. në një libër të pandryshueshëm të quajtur rekor, përveç të cilit Sigstore ka autoritetin e vet të certifikimit të quajtur Fulcio
Falë nivelit të ri të mbrojtjes, zhvilluesit do të jenë në gjendje të lidhin paketën e krijuar me kodin burimor të përdorur dhe mjedisin e ndërtimit, duke i dhënë përdoruesit mundësinë për të verifikuar që përmbajtja e paketës korrespondon me përmbajtjen e burimeve në depon kryesore të projektit.
Përdorimi i Sigstore thjeshton shumë procesin e menaxhimit të çelësave dhe eliminon kompleksitetin që lidhet me regjistrimin, revokimin dhe menaxhimin e çelësave kriptografikë. Sigstore promovon veten si Let's Encrypt for code, duke ofruar certifikata për nënshkrimin dixhital të kodit dhe mjete për të automatizuar verifikimin.
Ne po hapim një Kërkesë të re për Komente (RFC) sot, e cila shikon lidhjen e një pakete me depon e saj burimore dhe mjedisin e ndërtimit. Kur mirëmbajtësit e paketave zgjedhin këtë sistem, konsumatorët e paketave të tyre mund të kenë më shumë besim se përmbajtja e paketës përputhet me përmbajtjen e depove të lidhura.
Në vend të çelësave të përhershëm, Sigstore përdor çelësa kalimtarë jetëshkurtër që krijohen bazuar në lejet. Materiali i përdorur për nënshkrimin pasqyrohet në një procesverbal publik të mbrojtur nga modifikimet, duke ju lejuar të siguroheni që autori i nënshkrimit është pikërisht ai që ata thonë se janë, dhe nënshkrimi është formuar nga i njëjti pjesëmarrës që ishte përgjegjës.
Projekti ka parë miratim të hershëm me ekosistemet e tjera të menaxherëve të paketave. Me RFC-në e sotme, ne propozojmë të shtojmë mbështetje për nënshkrimin nga fundi në fund të paketave npm duke përdorur Sigstore. Ky proces do të përfshinte gjenerimin e certifikatave se ku, kur dhe si u krijua paketa, në mënyrë që të mund të verifikohet më vonë.
Për të siguruar integritetin dhe mbrojtje kundër korrupsionit të të dhënave, përdoret një strukturë peme Merkle Tree në të cilën secila degë kontrollon të gjitha degët dhe nyjet themelore nëpërmjet hash-it (pemës) të përbashkët. Duke pasur një hash pasues, përdoruesi mund të verifikojë korrektësinë e të gjithë historisë së operacionit, si dhe korrektësinë e gjendjeve të kaluara të bazës së të dhënave (hash-i i kontrollit rrënjësor i gjendjes së re të bazës së të dhënave llogaritet duke marrë parasysh gjendjen e kaluar).
Në fund, vlen të përmendet se Sigstore është zhvilluar bashkërisht nga Fondacioni Linux, Google, Red Hat, Universiteti Purdue dhe Chainguard.
Nëse dëshironi të dini më shumë rreth tij, mund të konsultoheni me detajet në lidhja e mëposhtme.