O Que É o Sigstore? Assinatura Fácil de Artefatos de Software
Sigstore é um conjunto de ferramentas open-source que torna simples assinar e verificar artefatos de software, sem forçar os desenvolvedores a gerenciar chaves privadas de longa duração.
Assinar software sempre foi valioso e sempre foi trabalhoso: você tinha que gerar chaves, protegê-las e nunca perdê-las. O Sigstore remove esse atrito. Ele permite que você assine artefatos usando um certificado de curta duração vinculado a uma identidade que você já possui, e registra cada assinatura em um log público e à prova de adulteração. O resultado é uma assinatura que as equipes realmente vão usar.
As peças do Sigstore
- Cosign: a CLI que assina e verifica artefatos e imagens de container.
- Fulcio: uma autoridade certificadora que emite certificados de assinatura de curta duração.
- Rekor: um log público de transparência que registra cada assinatura.
Como funciona a assinatura keyless
Em vez de uma chave privada de longa duração, você se autentica com uma identidade OIDC. O Fulcio emite um certificado válido por apenas alguns minutos, você assina com ele, e a assinatura mais o certificado vão para o Rekor. Não há chave durável para roubar ou rotacionar.
O log de transparência
O Rekor é um log público append-only. Qualquer um pode verificar que uma assinatura existe e foi feita em determinado momento, e a evidência de adulteração do log torna difícil silenciosamente retrodatar ou remover uma entrada. Isso transforma a assinatura em algo auditável.
Por que ele pegou
O Sigstore tornou a assinatura de artefatos gratuita, keyless e integrada às identidades que os desenvolvedores já têm. Isso reduziu a barreira o suficiente para que assinar imagens de container e produzir attestations se tornasse parte normal do CI, em vez de uma tarefa de especialista.
O Sigstore no pipeline
No CI, o pipeline se autentica com sua workload identity, obtém um certificado de curta duração e assina o artefato, tudo sem uma chave armazenada. Executar isso em um builder isolado e efêmero garante que a identidade de assinatura não seja exposta a outros jobs.
Principais conclusões
- O Sigstore torna fácil a assinatura de artefatos sem chaves privadas de longa duração.
- Cosign assina, Fulcio emite certificados de curta duração, Rekor registra cada assinatura.
- A assinatura keyless baseada em identidade remove o fardo do gerenciamento de chaves.