O Que É o Sigstore?
O Sigstore é um conjunto de ferramentas gratuitas e open-source que tornam prática a assinatura e verificação de software sem gerenciar chaves privadas de longa duração. Ele emite certificados de curta duração vinculados a uma identidade, registra assinaturas em um log de transparência público e fornece ferramentas para verificá-las. Seu objetivo é tornar a assinatura tão rotineira quanto a publicação.
Por que isso importa
A assinatura tradicional falha porque as equipes perdem, vazam ou nunca rotacionam chaves privadas. O Sigstore substitui chaves armazenadas por certificados efêmeros vinculados a uma identidade OIDC, o que se encaixa perfeitamente no CI: um workflow prova sua identidade e assina sem nenhum segredo para roubar. O log de transparência então torna as assinaturas publicamente auditáveis.
Componentes principais
- O Fulcio emite certificados de assinatura de curta duração
- O Rekor é o log de transparência público
- O Cosign assina e verifica artifacts