Code Signing - CI/CD用語集の定義
code signing とは、バイナリやパッケージに暗号学的な署名を付与することで、受け取り手がその作成者を検証し、署名後に変更されていないことを確認できるようにするものです。
CIにおいて
pipeline は release の job で cosign、GPG、プラットフォームの signer などのツールを使って artifact に署名し、downstream での検証のために署名を artifact とともに公開します。
関連ガイド
Sigstore - CI/CD Glossary DefinitionSigstore: Sigstore is an open-source project for signing and verifying software artifacts using short-lived,…
Checksum - CI/CD Glossary DefinitionChecksum: A checksum is a fixed-size value computed from a file with a hash function (such as SHA-256) that c…
Attestation - CI/CD Glossary DefinitionAttestation: An attestation is a signed statement about an artifact, such as its provenance, SBOM, or test re…