キーレス署名とは?
キーレス署名は、Sigstoreのcosignによって広まったアプローチで、OIDCアイデンティティに対して発行された短命な証明書に紐づく一時的な鍵ペアを使って署名し、署名イベントは公開されたtransparency logに記録されます。長期間有効な秘密鍵はどこにも保管されません。CIのjobは自身のアイデンティティを証明し、一瞬だけ有効な証明書を取得して署名し、鍵は破棄されます。
なぜ重要か
従来の署名鍵は格好の盗難対象であり、ローテーションも面倒です。キーレス署名は常設の鍵を完全に取り除き、実行ごとのアイデンティティとtransparency logに置き換えます。runnerはすでにOIDCアイデンティティを持っているため、これはCIに自然に適合します。サプライチェーンの攻撃対象領域を大幅に削減します。
関連する概念
- OIDCのワークロードアイデンティティの上に構築される
- 署名をtransparency logに記録する
- Sigstoreのcosignがよくある実装
関連ガイド
What Is Workload Identity?Workload identity gives a non-human workload, like a CI job or service, a verifiable identity used to obtain…
What Is an Attestation?An attestation is a signed, machine-readable statement about a software artifact, such as how it was built, w…
What Is OIDC Federation in CI/CD?OIDC federation lets a CI job exchange a short-lived identity token for cloud credentials, removing the need…