Fulcioとは?
Fulcioは、Sigstoreにおける認証局で、OIDCプロバイダーから得られる検証済みアイデンティティに結び付けられた、短命なコード署名証明書を発行します。何か月も秘密鍵を保持する代わりに、署名者は自身が誰であるかを証明し、数分間有効な証明書を受け取り、その時間内に署名します。期限切れになった証明書は漏洩しても無害です。
なぜ重要か
長命な署名鍵は恒常的な負債であり、一度の漏洩が将来のすべてのアーティファクトを侵害します。Fulcioはそのモデルを、アイデンティティに結び付けられたエフェメラルな証明書に置き換えます。これはCIに理想的で、workflowがOIDCトークンを提示して自身のアイデンティティを証明し、保存されたシークレットなしに署名できます。検証者は、鍵のフィンガープリントではなく証明書に含まれるアイデンティティを信頼します。
関連ガイド
What Is Sigstore?Sigstore is an open-source project for signing software artifacts using short-lived keys and identity, with a…
What Is the Rekor Transparency Log?Rekor is Sigstore's append-only transparency log that records signing events so signatures can be publicly ve…
What Is cosign verify?cosign verify is the Sigstore command that checks an artifact's signature and attestations against an expecte…