Signature de paquets.

Application d'une signature cryptographique à un paquet logiciel pour que les consommateurs vérifient l'identité de l'éditeur et que l'artefact n'a pas été altéré après publication. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Application d'une signature cryptographique à un paquet logiciel pour que les consommateurs vérifient l'identité de l'éditeur et que l'artefact n'a pas été altéré après publication.

La signature de paquets lie un artefact (binaire, bibliothèque, image conteneur, paquet OS, module de langage) à l'identité cryptographique de l'éditeur. Les vérificateurs comparent la signature à la clé, au certificat ou à l'entrée du journal de transparence attendus avant d'installer ou d'exécuter le paquet. Les écosystèmes courants comprennent Sigstore Cosign pour les images OCI et les paquets de langage, les paquets Linux signés GPG, Authenticode sur Windows, codesign sur macOS/iOS et Maven Central avec PGP. La pratique moderne privilégie des clés éphémères et des identités OIDC (Sigstore) plutôt que des clés hors-ligne à longue durée de vie, plus des journaux de transparence (Rekor) pour l'auditabilité publique. La signature est complémentaire des SBOM, de la provenance SLSA et des builds reproductibles : elle répond à "qui a livré ceci et est-ce intact ?", les autres à "que contient-il et comment a-t-il été fabriqué ?".

Les défenses contre Signature de paquets combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Code signing, Signature d'artefacts.