パッケージ署名.

ソフトウェアパッケージに暗号学的署名を付与し、利用者が発行者の身元と公開後に改ざんされていないことを検証できるようにする仕組み。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

ソフトウェアパッケージに暗号学的署名を付与し、利用者が発行者の身元と公開後に改ざんされていないことを検証できるようにする仕組み。

パッケージ署名は、成果物(バイナリ・ライブラリ・コンテナイメージ・OS パッケージ・言語モジュール)を発行者の暗号学的アイデンティティに結びつけます。利用側は、インストールや実行の前に署名を期待する鍵・証明書・透明性ログのエントリと照合します。代表的なエコシステムには、OCI イメージや言語パッケージ向けの Sigstore Cosign、GPG 署名された Linux ディストリビューションパッケージ、Windows の Authenticode、macOS/iOS の codesign、PGP を用いる Maven Central などがあります。現代では、長期間オフラインで保管する鍵よりも、短命な鍵と OIDC ベースのアイデンティティ(Sigstore)+ 透明性ログ(Rekor)による公開監査性が好まれます。パッケージ署名は SBOM、SLSA プロベナンス、再現可能ビルドと相補的で、「誰が公開し改ざんされていないか」を答えるのに対し、他は「何が入っていて、どう作られたか」を答えます。

パッケージ署名 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: コード署名, アーティファクト署名。