Sigstoreとは?
Sigstoreは、長命な秘密鍵を管理することなくソフトウェアの署名と検証を実用的にする、無料のオープンソースツール群です。アイデンティティに結び付けられた短命な証明書を発行し、署名を公開のtransparency logに記録し、それらを検証するツールを提供します。その目標は、署名を公開と同じくらい日常的なものにすることです。
なぜ重要か
従来の署名は、チームが秘密鍵を失ったり、漏洩させたり、あるいは一度もローテーションしなかったりするために破綻します。Sigstoreは保存された鍵を、OIDCアイデンティティに結び付けられたエフェメラルな証明書に置き換えます。これはCIに完全に適合します。workflowが自身のアイデンティティを証明し、盗まれるシークレットなしに署名するのです。そしてtransparency logが署名を公開監査可能にします。
中核となるコンポーネント
- Fulcioが短命な署名証明書を発行する
- Rekorが公開のtransparency log
- Cosignがアーティファクトの署名と検証を行う
関連ガイド
What Is Fulcio?Fulcio is Sigstore's certificate authority that issues short-lived signing certificates bound to an OIDC iden…
What Is the Rekor Transparency Log?Rekor is Sigstore's append-only transparency log that records signing events so signatures can be publicly ve…
What Is cosign verify?cosign verify is the Sigstore command that checks an artifact's signature and attestations against an expecte…