Artifact Signing Key とは何か
artifact signing key は、build システムが release artifact に対してデジタル署名を生成するために使う鍵ペアの秘密の半分です。対応する公開鍵により、誰でも artifact が改ざんされておらず、秘密鍵の保持者に由来することを確認できます。その鍵を保護することは、信頼できる release プロセスの中心です。
なぜ重要か
漏洩した signing key は、攻撃者が信頼された release を偽造することを可能にします。そのため pipeline は、これらの鍵を平文ファイルではなくハードウェアモジュールや短命の署名サービスに保管します。
関連ガイド
What Is Signed Provenance?Signed provenance is a cryptographically signed record of how an artifact was built, so consumers can verify…
What Is Attestation Verification?Attestation verification is the step where a consumer checks a signed attestation against policy before trust…
What Is an Ephemeral Build Credential?An ephemeral build credential is a temporary secret issued only for a single build, expiring shortly after so…