Проект gittuf развивает систему криптографической защиты репозиториев Git

10.05.2024 20:33

Доступен выпуск проекта gittuf 0.4, развивающего иерархическую систему верификации содержимого репозиториев Git, позволяющую минимизировать риски в ситуации компрометации отдельных разработчиков, имеющих доступ к репозиторию. Gittuf предоставляет дополнительный слой безопасности к Git и набор утилит для управления ключами всех разработчиков, имеющих доступ к репозиторию, и расстановки правил доступа к веткам, тегам и отдельным файлам. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0. Проект находится на стадии активного развития и имеет качество альфа-выпуска, подходящего для экспериментов, но пока не готового для рабочих внедрений.

Информация и артефакты, обеспечивающие дополнительную верификацию вносимых изменений, хранятся в хранилище объектов Git в отдельном специфичном для gittuf пространстве имён, что позволяет сохранить обратную совместимость с имеющимися инструментами и сервисами, включая GitHub и GitLab. При использовании инструментов без поддержки gittuf, репозиторий остаётся полностью доступен, но ограничена возможность расширенной верификации его целостности. Архитектура gittuf базируется на проверенных элементах фреймворка TUF (The Update Framework), применяемого для защиты процессов формирования обновлений в таких проектах, как Docker, Fuchsia, AGL (Automotive Grade Linux) и PyPI.

Модель верификации в gittuf основана на применении иерархической системы распространения доверия. Корень доверия (root of trust) принадлежит владельцу репозитория, который может генерировать ключи для участников разработки и определять правила, в соответствии с которыми созданные ключи могут применяться. Gittuf позволяет создавать гибкие гранулированные правила, определяющие полномочия каждого разработчика и область репозитория, в которой он имеет возможность вносить изменения. Например, разработчик может быть авторизован для создания тегов, внесения изменений в определённые ветки или изменения только отдельных файлов в репозитории.

Разработчики и вносимые ими изменения идентифицируются по ключам и цифровым подписям. Gittuf позволяет генерировать новые ключи, безопасно распространять ключи, осуществлять периодическую ротацию ключей, отзывать скомпрометированные ключи, управлять списками доступа (ACL) и пространствами имён в Git-репозиториях. Gittuf также выполняет ведение эталонного лога всех изменений (RSL - Reference State Log), целостность и защита от искажения задним числом в котором обеспечивается при помощи древовидной структуры "дерево Меркла" (Merkle Tree) - каждая ветка верифицирует все нижележащие ветки и узлы благодаря древовидному хешированию (имея конечный хеш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний).

Для верификации цифровых подписей коммитов и тегов владелец репозитория формирует и распространяет открытые ключи, которые напрямую ассоциированы с репозиторием. Для противодействия продвижению злоумышленниками изменений, созданных после получения доступа к ключам для формирования цифровых подписей отдельных разработчиков, применяются механизмы отзыва и замены ключей. Ключи имеют ограниченное время жизни и требуют постоянного обновления для защиты от формирования подписи старыми ключами.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/61144-gittuf

Ключевые слова: gittuf, git, sigstore, tuf, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (72)

1.4, Аноним (4), 21:13, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Эх, если бы только гитхаб этим занимался вместо того, чтобы требовать паспорт за слишком много звёзд на моём репозитории.

2.5, Аноним (5), 21:16, 10/05/2024 [^] [^^] [^^^] [ответить]	+5 +/–
Ну, сейчас основной инструмент гитхаба для регулирования пользователей — это shadowban-ы, которые выдаются автоматически и в целом достаточно случайно. Видимо, кому-то просто не нравится, что разные люди, не входящие в корпорации, вместе что-то делают.

2.6, Аноним (-), 22:08, 10/05/2024 [^] [^^] [^^^] [ответить]	+2 +/–
И сколько надо получить звезд, чтобы спросили паспорт? А вообще гитхаб может спрашивать все что угодно, это не не единственная площадка где можно опубликовать код.

3.7, Аноним (4), 22:37, 10/05/2024 [^] [^^] [^^^] [ответить]

+2 +/–

> И сколько надо получить звезд, чтобы спросили паспорт?

Точно не скажу, вроде бы либо 50+, либо 200+. На моём самом популярном репе сейчас 300+, так что хз.

> А вообще гитхаб может спрашивать все что угодно, это не не единственная площадка где можно опубликовать код.

Как бы да, но не всё так просто. Значительная часть опенсорса там - а значит, что в issues и pr можно только с аккаунтом писать. К тому же, если ищете работу, то негибкие места требуют на гитхаб и нигде больше.

4.13, Аноним (13), 23:45, 10/05/2024 [^] [^^] [^^^] [ответить]	+4 +/–
все адекватные с gh давно свалили. Как минимум после 2FA-обязаловки точно. А паспорт требовать ... это новое дно (хотя сомнительно, но верю на слово, ибо мне пофиг, я уже GH не пользуюсь). P.S. покажи проект, может мне тоже надо начать им пользоваться?

5.14, Аноним (14), 01:34, 11/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Взываю к тебе, о Аноним, расскажи о вреде 2FA!

6.83, Аноним (83), 13:30, 13/05/2024 [^] [^^] [^^^] [ответить]	+/–
Не просто 2FA, а принудительного 2FA, по желанию левой пятки индуса из техподдержки. Разницу осознаешь?

5.15, Ivan_83 (ok), 02:21, 11/05/2024 [^] [^^] [^^^] [ответить]	–1 +/–
2FA настраивается за 5 минут, никакая мобила при это не сильно то и нужна. TOTP это просто HMAC на базе shared secret + current time, закодированный в base64/32 и отрезанный. Гитхуб позволяет не только тратить время на поддержку чужих проектов и выкладывание своих но и получать бабло от спонсеров. Авторы особо удачных и популярных проектов уже могут не работать на дядю. И для вот этого уже реально нужно показывать свои документы государственного образца, и разумеется иметь 2FA.

6.17, Аноним (17), 06:03, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Я настроил 2FA за 5 минут, а потом сайт почему-то отказался принимать мои сгенерённые коды, и всё, что у меня было, превратилось в тыкву. Я потом завёл новый акк, но рекрутеры всё равно находят старый и говорят "а он у вас много лет не обновлялся".

7.19, Ivan_83 (ok), 07:03, 11/05/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Вот видите, надо было сразу гитхабу свои документы гос образца отдать, тогда бы вы не оказались в такой ситуации. И исходя из моего опыта, рекрутеры не ходят по гитхубам, так что достоверность истории сомнительная.

8.21, Аноним (-), 07:15, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Гораздо проще основную репу держать на своем серваке Тогда никто документы не в... большой текст свёрнут, показать

9.23, Ivan_83 (ok), 08:48, 11/05/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Проще вообще гит не заводить и писать код на своём компе и никуда не публиковать... текст свёрнут, показать

10.39, Аноним (39), 12:18, 11/05/2024 Скрыто ботом-модератором [к модератору]	+/–

11.44, Ivan_83 (ok), 13:03, 11/05/2024 Скрыто ботом-модератором [к модератору]	+/–

12.50, Аноним (50), 14:55, 11/05/2024 Скрыто ботом-модератором [к модератору]	+/–

13.67, Ivan_83 (ok), 00:29, 12/05/2024 Скрыто ботом-модератором [к модератору]	+/–

10.65, Аноним (65), 22:49, 11/05/2024 [^] [^^] [^^^] [ответить]	+3 +/–
Понимаешь, чувак, есть несколько фактов 1 Майкрософт никогда не был успешен в... большой текст свёрнут, показать

11.68, Ivan_83 (ok), 00:38, 12/05/2024 [^] [^^] [^^^] [ответить]	+/–
Халуи МС сидят на венде, кодят на C и говорят что C лучшее что с ними случалос... текст свёрнут, показать

12.72, Аноним (-), 20:48, 12/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Майкрософт штуки 2 или 3 ножика в спины этим планам сам же воткнул Сперва под д... большой текст свёрнут, показать

8.38, Аноним (38), 12:16, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
надо было гитхабом перестать пользоваться, а во все репы повесить заглушку ... текст свёрнут, показать

9.41, Ivan_83 (ok), 12:52, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Так переставайте, сколько у вас там репозиториев и сколько у них звёзд ... текст свёрнут, показать

10.52, Аноним (50), 14:57, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Так уже перешли А чем больше звёзд - тем проще зависимых перетащить тоже ... текст свёрнут, показать

8.51, OpenEcho (?), 14:57, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Еще как ходят, и не только по гитхабу, но и по stackoverflow, reddit, linkedin ... текст свёрнут, показать

6.20, Аноним (20), 07:08, 11/05/2024 [^] [^^] [^^^] [ответить]

+3 +/–

> 2FA настраивается за 5 минут, никакая мобила при это не сильно то и нужна.
> TOTP это просто HMAC на базе shared secret + current time, закодированный
> в base64/32 и отрезанный.

Это так, вишенка на торт. Майкрософт задолбал. То без JS даже оглавление репы не кажет, то анимашек напихивает, кладущих проц в полку, то капч напихивают которым тор не нравится, то "вы сменили браузер, сдайте отпечатки пальцев!" - а это так, вишенка на торт.

Зачем нужны "благодетели" которые все время все ломают, гадят и устраивают какой-то рэкет насчет доказательств что не верблюд - не понятно. Спасибо но я обойдусь без таких благодетелей.

7.22, Аноним (22), 07:40, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
> Microsoft has a magic power to make a big smelly shit from everything MS touches. > Skype was a good - wasted. Nokia was good - wasted. Wordpad was a good - wasted. > Github was a good... till MS touched it. https://github.com/orgs/community/discussions/13130#discussioncomment-7093405

8.73, Аноним (-), 03:04, 13/05/2024 [^] [^^] [^^^] [ответить]	+/–
Спасибо за расстановку точек над i - только я об этом догадываюсь уже более 10 л... текст свёрнут, показать

7.24, Ivan_83 (ok), 08:49, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Так и будете сидеть один, даже пожаловатся на баги не получится :)

8.33, Аноним (-), 11:31, 11/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
У вменяемых проектов есть площадки для общения для людей без клипового мышления ... текст свёрнут, показать

9.43, Ivan_83 (ok), 12:58, 11/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Саванна - фигня полная для фриков IRC больше мёртв, списки рассылки как и форум... текст свёрнут, показать

10.56, Аноним (56), 15:11, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
1 находишь репозиторий на гитхабе 2 идёшь в список коммитов 3 выбираешь один ... текст свёрнут, показать

11.63, Аноним (-), 17:16, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Хм, это же просто белое это черное или вой , а не, сейчас такое писать нел... большой текст свёрнут, показать

11.69, Ivan_83 (ok), 00:45, 12/05/2024 [^] [^^] [^^^] [ответить]	+/–
Не все лицензии позволят вам организовать форк и послать автора Что б вы пони... текст свёрнут, показать

10.74, Аноним (-), 03:24, 13/05/2024 [^] [^^] [^^^] [ответить]	+/–
Кроме нее есть sh ht, codeberg, notabug - и их лаги в час пик намекают что гитха... большой текст свёрнут, показать

9.61, Аноним (61), 16:07, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Это тот дидовый в-сер который без костылей не может даже историю хранить В кото... большой текст свёрнут, показать

10.75, Аноним (75), 03:33, 13/05/2024 [^] [^^] [^^^] [ответить]	+/–
Телегу блин юзай, ага Только вот я что-то не припомиаю желающих искать в истори... большой текст свёрнут, показать

8.53, Аноним (50), 14:58, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Уж лучше одному, чем в хлеву ... текст свёрнут, показать

7.29, Аноним (-), 11:04, 11/05/2024 [^] [^^] [^^^] [ответить]

+1 +/–

> То без JS даже оглавление репы не кажет,

Современный браузер без JS практически не работает, почему майкрософта должны беспокоить проблемы девиантов?

> то анимашек напихивает, кладущих проц в полку,

У меня проц 13 летней давности (мидл) и ничего не тормозит
не понимаю на каком унитазе нужно гитхаб запускать, чтобы получить такой результат

> то капч напихивают которым тор не нравится,

я бы вообще от ТОР реджектил все запросы, а то поналезет анонимов, а потом бекдоры в ХЗ пихают

> то "вы сменили браузер, сдайте отпечатки пальцев!" - а это так, вишенка на торт.

Их право, тебя никто не заставляет пользоваться их сервисом.
Можешь распространять код хоть через торрент, хоть на дискетах

8.34, Аноним (-), 11:33, 11/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Самокритично ... текст свёрнут, показать

8.40, Аноним (40), 12:23, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Почему людей должны беспокоить проблемы майкрософта Испоганили гитхаб - ну вот ... текст свёрнут, показать

9.42, Ivan_83 (ok), 12:54, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
У меня до 2017 года был коредуо и гитхуб у меня не тормозил Вопрос не к том где... текст свёрнут, показать

10.54, Аноним (50), 15:00, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
У сообщества сейчас одна точка Шеллинга - Codeberg Те, у кого точки Шеллинга Gi... текст свёрнут, показать

11.70, Ivan_83 (ok), 00:52, 12/05/2024 [^] [^^] [^^^] [ответить]	+/–
А вы это кто На кодеберге сейчас зарегано 104к акков, но у меня стойкое ощущени... текст свёрнут, показать

9.46, Аноним (-), 13:50, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Конечно А самый что ни на есть винрарный сандаль ака SandyBridge До сих пор тя... текст свёрнут, показать

10.55, Аноним (50), 15:02, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Это вам из нашего сообщества ... текст свёрнут, показать

11.59, Аноним (-), 15:49, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
80 кода в ядро пишут корпы, так что если вы свалите из их опенсорс сообщества, ... текст свёрнут, показать

12.60, Аноним (60), 16:05, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
А что так гордо, как будто ты владелец одной из этих корпораций ... текст свёрнут, показать

12.78, Аноним (-), 09:03, 13/05/2024 [^] [^^] [^^^] [ответить]	+/–
Майкрософт скупая скайп тоже как-то так думал За несколько лет изгадил до состо... текст свёрнут, показать

8.76, Аноним (76), 03:46, 13/05/2024 [^] [^^] [^^^] [ответить]	+/–
Я тоже так подумал - и теперь даже не смогу вспомнить кренделя на гитхаб Но это... большой текст свёрнут, показать

6.37, Аноним (37), 12:11, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
>получать бабло от спонсеров 1. чтобы принимать бабло, нужна лишь пачка адресов в криптовалюте. Иметь акк на гитхабе и предоставлять M$ или её партнёрам паспортные данные для этого не нужно. 2. слово "спонсор" пишется и произносится с двумя "о".

4.30, Аноним (-), 11:10, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Ого, уважаемо А если не секрет, что за тематика проектов Возможно гитхаб дейст... большой текст свёрнут, показать

5.35, Аноним (-), 11:35, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
>Возможно гитхаб действительно следит за популярными проектами (или скорее их попросили следить)), тк никто не хочет повторения ситуации с XZ. Или наоборот хочет так же. Пока у овнера проекта что-то там не клеится с 2FA, чуть-чуть нахимичим к небольшой стопке микрокоммитов сверху, никто и не заметит.

4.57, тыквенное латте (?), 15:21, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
> Точно не скажу, вроде бы либо 50+, либо 200+. имею проект с 1.2к звёзд, никто паспорт не просил.

5.77, Майкрософт Корп (?), 03:48, 13/05/2024 [^] [^^] [^^^] [ответить]

+/–

>> Точно не скажу, вроде бы либо 50+, либо 200+.
> имею проект с 1.2к звёзд, никто паспорт не просил.

Это не ваша заслуга - а наша недоработка!

2.31, Аноним (31), 11:12, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
Имею проект с сотнями звёзд и ни разу не сталкивался с запросом "паспорта". ЧЯДНТ?

2.47, OpenEcho (?), 14:26, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
> Эх, если бы только гитхаб этим занимался вместо того, чтобы требовать паспорт за слишком много звёзд на моём репозитории. А какая у вас есть другая идея защитить опенсорс? Вы попробуйте с их точки зрения на ситуацию посмотреть. К сожалению даже с "много звездами" как показывает практика многие умудряются хардкодить секреты или делегировать руль совсем левым людям

1.8, YetAnotherOnanym (ok), 22:44, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> для управления ключами всех разработчиков, имеющих доступ к репозиторию Это ж хрустальная мечта любого хакиря!

2.9, Аноним (9), 22:57, 10/05/2024 [^] [^^] [^^^] [ответить]	–1 +/–
А как надо?

3.28, YetAnotherOnanym (ok), 10:31, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
> А как надо? Вот именно так и надо. Всё правильно сделали.

1.10, Аноним (10), 23:25, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не спасает от слова совсем. Только лишний слой хаоса.

2.16, Аноним (5), 03:17, 11/05/2024 [^] [^^] [^^^] [ответить]	+3 +/–
Здравствуйте, Jia Tan. Мы учтём ваше мнение.

3.25, Аноним (25), 09:12, 11/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
У него был полный доступ полученный полностью легальным путем. Он ни у кого ничего не украл.

1.11, Аноним (11), 23:33, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Большинство последних громких фэйлов связано со сменой владельца, от которого эта фигня не спасает. За то она спасает от других разработчиков, которые должны трахать себе мозг еще и с какими то левыми ключами. А еще эта хрень написана на го, так что корнем доверия, когда дело дойдет до дела, может оказаться гугл :)

2.26, Аноним (25), 09:50, 11/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Лол самые громкие фейлы это социнженерия.

3.62, Аноним (62), 16:11, 11/05/2024 [^] [^^] [^^^] [ответить]	+1 +/–
>Лол самые громкие фейлы это социнженерия. Ну какая разница, каким методом получен контроль над репой?! - Хоть социальным, хоть криптоанальным. В контексте новости, результат будет одинаковым - имитация бурной деятельности со сстороны разрабов софтины. А с учетом выбранного языка, и функционал контроля над репами, можно заподозрить и цели отличные от декларируемых.

2.48, OpenEcho (?), 14:34, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
> А еще эта хрень написана на го, так что корнем доверия, когда дело дойдет до дела, может оказаться гугл :) Т.е. следуя вашей логике, молотком сделанным на ЮжМашВоенВагон заводе нельзя никого прибить, т.е. только по назначению? Ребят, я сам жуткий параноик, но ваши мысли иногда слишком далеки от логики

1.12, z (??), 23:44, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
что-то ненужное делают. коммиты можно ключами гпг подписывать, этого достаточно для любой возможной верификации.

2.18, Аноним (17), 06:05, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
тут, я так понимаю, не про верификацию, а про права. Чтобы ты не мог коммитить в папочку ~/code/colleague1, но мог в ~/code/colleague2/

3.58, тыквенное латте (?), 15:24, 11/05/2024 [^] [^^] [^^^] [ответить]	+/–
отличное разграничение. архитектура, не иначе.

3.84, fuggy (ok), 17:58, 14/05/2024 [^] [^^] [^^^] [ответить]	+/–
Такое делает или отдельные репозитории и настраивай права как хочешь, привет монорепам. Или серверные хуки и там хоть на ветки, хоть на папки свою логику крути-верти. Это уже доступно и не нужен новый велосипед. У нас вон разработчики не хотят 2FA ключи для Гитхаба заводить, а тут ещё какие-то новые ключи заставляют делать. Не взлетит. Они вон криптовалютные методы двевовидного хеширования использовали, странно что не придумали просто писать коммиты в блокчейн и там уже всё хорошо с защитой от подмены прошлых состояний. Хотя для этого не нужные никакие дополнительные ключи, достаточно подписанных коммитов.

1.36, Аноним (36), 11:39, 11/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>Корень доверия (root of trust) Сокращённо - RoT. Проблема нейминга решена успешно.

1.71, Аноним (71), 01:15, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Напоминает архитектуру безопасности отдельно взятых компаний Что-то похоже дела... большой текст свёрнут, показать

2.85, Электрон (?), 02:56, 15/05/2024 [^] [^^] [^^^] [ответить]	+/–
В ветке про GPG подписали про разграничение прав. Дополняю: т.к. git является однонаправленным графом, по задумке, надо подписывать теги, которые значит подтверждают более ранние коммиты. Коммиты подписывать по идее незачем (но можно, допустим, слияние веток). См. ответы Линуса. Далее, вместо внедрения нагромаждений в одну репу - раскидывать доступ по репам, а дальше субмодули. Стандартно. Потому я не понимаю gittuf, и что оно должно решить.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: