Skip to content
Latchkey

O Que É o Sigstore? Assinatura Fácil de Artefatos de Software

Sigstore é um conjunto de ferramentas open-source que torna simples assinar e verificar artefatos de software, sem forçar os desenvolvedores a gerenciar chaves privadas de longa duração.

Assinar software sempre foi valioso e sempre foi trabalhoso: você tinha que gerar chaves, protegê-las e nunca perdê-las. O Sigstore remove esse atrito. Ele permite que você assine artefatos usando um certificado de curta duração vinculado a uma identidade que você já possui, e registra cada assinatura em um log público e à prova de adulteração. O resultado é uma assinatura que as equipes realmente vão usar.

As peças do Sigstore

  • Cosign: a CLI que assina e verifica artefatos e imagens de container.
  • Fulcio: uma autoridade certificadora que emite certificados de assinatura de curta duração.
  • Rekor: um log público de transparência que registra cada assinatura.

Como funciona a assinatura keyless

Em vez de uma chave privada de longa duração, você se autentica com uma identidade OIDC. O Fulcio emite um certificado válido por apenas alguns minutos, você assina com ele, e a assinatura mais o certificado vão para o Rekor. Não há chave durável para roubar ou rotacionar.

O log de transparência

O Rekor é um log público append-only. Qualquer um pode verificar que uma assinatura existe e foi feita em determinado momento, e a evidência de adulteração do log torna difícil silenciosamente retrodatar ou remover uma entrada. Isso transforma a assinatura em algo auditável.

Por que ele pegou

O Sigstore tornou a assinatura de artefatos gratuita, keyless e integrada às identidades que os desenvolvedores já têm. Isso reduziu a barreira o suficiente para que assinar imagens de container e produzir attestations se tornasse parte normal do CI, em vez de uma tarefa de especialista.

O Sigstore no pipeline

No CI, o pipeline se autentica com sua workload identity, obtém um certificado de curta duração e assina o artefato, tudo sem uma chave armazenada. Executar isso em um builder isolado e efêmero garante que a identidade de assinatura não seja exposta a outros jobs.

Principais conclusões

  • O Sigstore torna fácil a assinatura de artefatos sem chaves privadas de longa duração.
  • Cosign assina, Fulcio emite certificados de curta duração, Rekor registra cada assinatura.
  • A assinatura keyless baseada em identidade remove o fardo do gerenciamento de chaves.

Guias relacionados