Sigstore
¿Qué es Sigstore?
SigstoreProyecto open source de la Linux Foundation que facilita firmar, verificar y proteger artefactos de software combinando claves efímeras, identidades OIDC y un registro de transparencia.
Sigstore es un conjunto de servicios cooperantes: Cosign para firmar artefactos, Fulcio como autoridad de certificación gratuita basada en OIDC que emite certificados de firma efímeros, y Rekor, un registro público de transparencia solo de adición. Los desarrolladores se autentican con su proveedor de identidad existente (GitHub, Google, etc.) y Fulcio les emite un certificado de firma breve; Cosign firma contenedores, binarios, SBOM o atestaciones in-toto, y registra la firma en Rekor. La verificación consulta el log y comprueba identidad y firma sin gestionar claves privadas de larga vida. Sigstore se usa ampliamente en ecosistemas OCI, registros de paquetes y pipelines alineados con SLSA para defenderse de ataques a la cadena de suministro.
● Ejemplos
- 01
Firmar imágenes de contenedor en CI con Cosign y verificarlas en el admission de Kubernetes.
- 02
Publicar SBOM firmados y atestaciones in-toto en Rekor para verificación pública.
● Preguntas frecuentes
¿Qué es Sigstore?
Proyecto open source de la Linux Foundation que facilita firmar, verificar y proteger artefactos de software combinando claves efímeras, identidades OIDC y un registro de transparencia. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Sigstore?
Proyecto open source de la Linux Foundation que facilita firmar, verificar y proteger artefactos de software combinando claves efímeras, identidades OIDC y un registro de transparencia.
¿Cómo defenderse de Sigstore?
Las defensas contra Sigstore combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Sigstore?
Nombres alternativos comunes: sigstore.