Sigstore
Was ist Sigstore?
SigstoreOpen-Source-Projekt der Linux Foundation, das Signatur, Verifikation und Schutz von Software-Artefakten mittels kurzlebiger Schlüssel, OIDC-Identitäten und Transparenz-Log einfach macht.
Sigstore besteht aus kooperierenden Diensten: Cosign zum Signieren von Artefakten, Fulcio als kostenfreie OIDC-basierte Zertifizierungsstelle, die kurzlebige Signierzertifikate ausstellt, und Rekor, ein öffentliches Append-only-Transparenz-Log. Entwicklerinnen und Entwickler authentifizieren sich über ihren bestehenden Identitätsanbieter (GitHub, Google etc.); Fulcio stellt ein kurzfristiges Signierzertifikat aus, Cosign signiert Container, Binaries, SBOMs oder in-toto-Attestationen und legt die Signatur in Rekor ab. Die Verifikation prüft den Log-Eintrag samt Identität und Signatur, ohne langlebige private Schlüssel zu verwalten. Sigstore wird in OCI-Container-Ökosystemen, Paketregistern und SLSA-konformen Pipelines breit eingesetzt, um Supply-Chain-Angriffe abzuwehren.
● Beispiele
- 01
Signieren von Container-Images in CI mit Cosign und Verifikation im Kubernetes-Admission.
- 02
Veröffentlichung signierter SBOMs und in-toto-Attestationen in Rekor zur öffentlichen Verifikation.
● Häufige Fragen
Was ist Sigstore?
Open-Source-Projekt der Linux Foundation, das Signatur, Verifikation und Schutz von Software-Artefakten mittels kurzlebiger Schlüssel, OIDC-Identitäten und Transparenz-Log einfach macht. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Sigstore?
Open-Source-Projekt der Linux Foundation, das Signatur, Verifikation und Schutz von Software-Artefakten mittels kurzlebiger Schlüssel, OIDC-Identitäten und Transparenz-Log einfach macht.
Wie funktioniert Sigstore?
Sigstore besteht aus kooperierenden Diensten: Cosign zum Signieren von Artefakten, Fulcio als kostenfreie OIDC-basierte Zertifizierungsstelle, die kurzlebige Signierzertifikate ausstellt, und Rekor, ein öffentliches Append-only-Transparenz-Log. Entwicklerinnen und Entwickler authentifizieren sich über ihren bestehenden Identitätsanbieter (GitHub, Google etc.); Fulcio stellt ein kurzfristiges Signierzertifikat aus, Cosign signiert Container, Binaries, SBOMs oder in-toto-Attestationen und legt die Signatur in Rekor ab. Die Verifikation prüft den Log-Eintrag samt Identität und Signatur, ohne langlebige private Schlüssel zu verwalten. Sigstore wird in OCI-Container-Ökosystemen, Paketregistern und SLSA-konformen Pipelines breit eingesetzt, um Supply-Chain-Angriffe abzuwehren.
Wie schützt man sich gegen Sigstore?
Schutzmaßnahmen gegen Sigstore kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sigstore?
Übliche alternative Bezeichnungen: sigstore.
● Verwandte Begriffe
- appsec№ 226
Cosign
Open-Source-CLI des Sigstore-Projekts zum Signieren, Verifizieren und Attestieren von OCI-Artefakten und anderer Software, wahlweise mit Schlüssel oder keyless.
- appsec№ 522
in-toto
Offenes Framework, das jeden Schritt einer Software-Lieferkette kryptografisch attestiert, damit Konsumenten überprüfen können, dass das Artefakt genau wie vom Projektverantwortlichen vorgesehen erzeugt und behandelt wurde.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: ein vom OpenSSF veröffentlichter stufenweiser Anforderungskatalog, der Erstellung, Signatur und Verifikation von Software gegen Lieferketten-Manipulation zunehmend härtet.
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- appsec№ 784
Paketsignatur
Anbringen einer kryptografischen Signatur an einem Softwarepaket, damit Konsumenten Veröffentlicher und Unversehrtheit des Artefakts überprüfen können.
- appsec№ 870
Provenance-Attestation
Signierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.