Skip to content
Latchkey

O Que É uma Artifact Signing Key?

Uma artifact signing key é a metade secreta de um par de chaves que um sistema de build usa para produzir uma assinatura digital sobre um artifact de release. A chave pública correspondente permite que qualquer um confirme que o artifact não foi adulterado e se originou do detentor da chave privada. Proteger essa chave é central para um processo de release confiável.

Por que isso importa

Uma signing key vazada permite que um atacante forje releases confiáveis. Por isso os pipelines armazenam essas chaves em módulos de hardware ou serviços de assinatura de curta duração em vez de em arquivos simples.

Guias relacionados