Sigstore
Sigstore とは何ですか?
Sigstore短命な鍵・OIDC ID・透明性ログを組み合わせ、ソフトウェア成果物の署名・検証・保護を容易にする、Linux Foundation のオープンソースプロジェクト。
Sigstore は連携する複数のサービスから構成されます。Cosign は成果物に署名し、Fulcio は OIDC を用いた無料の認証局として短命な署名証明書を発行し、Rekor は追記専用の公開透明性ログを提供します。開発者は GitHub や Google など既存の ID プロバイダーで認証し、Fulcio が短い有効期限の署名証明書を発行します。Cosign はコンテナ・バイナリ・SBOM・in-toto アテステーションに署名し、その署名を Rekor に記録します。検証時には Rekor のエントリから ID と署名を確認するだけで済み、長期に管理する秘密鍵が不要です。OCI コンテナ、パッケージレジストリ、SLSA に整合した CI/CD で広く採用され、サプライチェーン攻撃への防御に寄与しています。
● 例
- 01
Cosign で CI 上のコンテナイメージに署名し、Kubernetes の Admission で検証する運用。
- 02
署名済み SBOM と in-toto アテステーションを Rekor に公開し、第三者による検証を可能にする取り組み。
● よくある質問
Sigstore とは何ですか?
短命な鍵・OIDC ID・透明性ログを組み合わせ、ソフトウェア成果物の署名・検証・保護を容易にする、Linux Foundation のオープンソースプロジェクト。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
Sigstore とはどういう意味ですか?
短命な鍵・OIDC ID・透明性ログを組み合わせ、ソフトウェア成果物の署名・検証・保護を容易にする、Linux Foundation のオープンソースプロジェクト。
Sigstore からどのように防御しますか?
Sigstore に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Sigstore の別名は何ですか?
一般的な別名: sigstore。