Rekor transparency logとは?
Rekorは、Sigstoreのtransparency logコンポーネントであり、署名とアテステーションのエントリを記録する、追記専用で改ざん検知可能な台帳です。エントリが一度記録されると、こっそり変更したり削除したりすることはできないため、誰でも後から、ある署名がある時点で存在したことを証明できます。これはcertificate transparencyの考え方をソフトウェア署名に持ち込むものです。
なぜ重要か
署名だけでは、それがいつ作られたのか、あるいはすり替えられていないことを証明できません。それをRekorに記録すると、検証者が照合できる公開かつ不変の記録が生成され、短命な署名証明書が本来開けてしまうギャップを塞ぎます。これによりbuildの署名を事後的に監査することが可能になります。
関連ガイド
What Is Sigstore?Sigstore is an open-source project for signing software artifacts using short-lived keys and identity, with a…
What Is Fulcio?Fulcio is Sigstore's certificate authority that issues short-lived signing certificates bound to an OIDC iden…
What Is cosign verify?cosign verify is the Sigstore command that checks an artifact's signature and attestations against an expecte…