O Que É uma Artifact Signing Key?
Uma artifact signing key é a metade secreta de um par de chaves que um sistema de build usa para produzir uma assinatura digital sobre um artifact de release. A chave pública correspondente permite que qualquer um confirme que o artifact não foi adulterado e se originou do detentor da chave privada. Proteger essa chave é central para um processo de release confiável.
Por que isso importa
Uma signing key vazada permite que um atacante forje releases confiáveis. Por isso os pipelines armazenam essas chaves em módulos de hardware ou serviços de assinatura de curta duração em vez de em arquivos simples.
Guias relacionados
What Is Signed Provenance?Signed provenance is a cryptographically signed record of how an artifact was built, so consumers can verify…
What Is Attestation Verification?Attestation verification is the step where a consumer checks a signed attestation against policy before trust…
What Is an Ephemeral Build Credential?An ephemeral build credential is a temporary secret issued only for a single build, expiring shortly after so…