Skip to content
Latchkey

Artifact Signing Key とは何か

artifact signing key は、build システムが release artifact に対してデジタル署名を生成するために使う鍵ペアの秘密の半分です。対応する公開鍵により、誰でも artifact が改ざんされておらず、秘密鍵の保持者に由来することを確認できます。その鍵を保護することは、信頼できる release プロセスの中心です。

なぜ重要か

漏洩した signing key は、攻撃者が信頼された release を偽造することを可能にします。そのため pipeline は、これらの鍵を平文ファイルではなくハードウェアモジュールや短命の署名サービスに保管します。

関連ガイド