Cosign.

Sigstore プロジェクト由来のオープンソース CLI で、OCI 成果物などのソフトウェアに対し、鍵あり・鍵なし両方のワークフローで署名・検証・アテステーションを行うツール。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

Sigstore プロジェクト由来のオープンソース CLI で、OCI 成果物などのソフトウェアに対し、鍵あり・鍵なし両方のワークフローで署名・検証・アテステーションを行うツール。

Cosign は Sigstore スタックのユーザー向けツールです。コンテナイメージ、OCI 成果物、blob、SBOM、in-toto アテステーションに署名し、署名を成果物と一緒に、または OCI レジストリに格納します。キーレスモードでは、OIDC ID に紐付いた短命な証明書を Fulcio から取得し、署名を Rekor 透明性ログに記録します。鍵モードでは従来の鍵、ハードウェアトークン、KMS マネージドな鍵を使えます。検証ポリシーでは、信頼する ID(特定の GitHub Actions ワークフローなど)、再利用可能ワークフロー、アテステーションの述語などを条件にできます。Cosign は多くの CI パイプラインや Kubernetes Admission(Kyverno、Connaisseur、OPA Gatekeeper)で標準的な署名ツールとなっており、サプライチェーンの完全性確保に貢献しています。

Cosign に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: cosign。