Skip to content
Latchkey

Sigstoreとは?

Sigstoreは、長命な秘密鍵を管理することなくソフトウェアの署名と検証を実用的にする、無料のオープンソースツール群です。アイデンティティに結び付けられた短命な証明書を発行し、署名を公開のtransparency logに記録し、それらを検証するツールを提供します。その目標は、署名を公開と同じくらい日常的なものにすることです。

なぜ重要か

従来の署名は、チームが秘密鍵を失ったり、漏洩させたり、あるいは一度もローテーションしなかったりするために破綻します。Sigstoreは保存された鍵を、OIDCアイデンティティに結び付けられたエフェメラルな証明書に置き換えます。これはCIに完全に適合します。workflowが自身のアイデンティティを証明し、盗まれるシークレットなしに署名するのです。そしてtransparency logが署名を公開監査可能にします。

中核となるコンポーネント

  • Fulcioが短命な署名証明書を発行する
  • Rekorが公開のtransparency log
  • Cosignがアーティファクトの署名と検証を行う

関連ガイド