Sigstore
Qu'est-ce que Sigstore ?
SigstoreProjet open source de la Linux Foundation qui facilite la signature, la vérification et la protection des artefacts logiciels en combinant clés éphémères, identités OIDC et journal de transparence.
Sigstore est un ensemble de services coopérants : Cosign pour signer les artefacts, Fulcio comme autorité de certification gratuite basée sur OIDC qui émet des certificats de signature éphémères, et Rekor, un journal public de transparence en append-only. Les développeurs s'authentifient via leur fournisseur d'identité existant (GitHub, Google, etc.), Fulcio leur délivre un certificat de signature de courte durée et Cosign signe les conteneurs, binaires, SBOM ou attestations in-toto en enregistrant la signature dans Rekor. La vérification interroge le journal et contrôle l'identité et la signature, sans clés privées longues à gérer. Sigstore est largement adopté dans les écosystèmes OCI, les registres de paquets et les pipelines alignés SLSA pour défendre la chaîne d'approvisionnement.
● Exemples
- 01
Signature d'images conteneurs en CI avec Cosign et vérification à l'admission Kubernetes.
- 02
Publication de SBOM signés et d'attestations in-toto dans Rekor pour vérification publique.
● Questions fréquentes
Qu'est-ce que Sigstore ?
Projet open source de la Linux Foundation qui facilite la signature, la vérification et la protection des artefacts logiciels en combinant clés éphémères, identités OIDC et journal de transparence. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Sigstore ?
Projet open source de la Linux Foundation qui facilite la signature, la vérification et la protection des artefacts logiciels en combinant clés éphémères, identités OIDC et journal de transparence.
Comment fonctionne Sigstore ?
Sigstore est un ensemble de services coopérants : Cosign pour signer les artefacts, Fulcio comme autorité de certification gratuite basée sur OIDC qui émet des certificats de signature éphémères, et Rekor, un journal public de transparence en append-only. Les développeurs s'authentifient via leur fournisseur d'identité existant (GitHub, Google, etc.), Fulcio leur délivre un certificat de signature de courte durée et Cosign signe les conteneurs, binaires, SBOM ou attestations in-toto en enregistrant la signature dans Rekor. La vérification interroge le journal et contrôle l'identité et la signature, sans clés privées longues à gérer. Sigstore est largement adopté dans les écosystèmes OCI, les registres de paquets et les pipelines alignés SLSA pour défendre la chaîne d'approvisionnement.
Comment se défendre contre Sigstore ?
Les défenses contre Sigstore combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sigstore ?
Noms alternatifs courants : sigstore.
● Termes liés
- appsec№ 226
Cosign
CLI open source du projet Sigstore pour signer, vérifier et attester des artefacts OCI et d'autres logiciels, en mode clé ou sans clé.
- appsec№ 522
in-toto
Cadre ouvert qui atteste cryptographiquement chaque étape d'une chaîne d'approvisionnement logicielle pour que les consommateurs vérifient que l'artefact a été produit et manipulé exactement comme le propriétaire du projet l'a prévu.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement.
- appsec№ 1069
Sécurité de la chaîne d'approvisionnement logicielle
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
- appsec№ 784
Signature de paquets
Application d'une signature cryptographique à un paquet logiciel pour que les consommateurs vérifient l'identité de l'éditeur et que l'artefact n'a pas été altéré après publication.
- appsec№ 870
Attestation de provenance
Déclaration signée et vérifiable par machine décrivant comment un artefact logiciel a été produit - source, système de build, paramètres, dépendances - pour que les consommateurs aient confiance en son origine.