Sigstore.

短命な鍵・OIDC ID・透明性ログを組み合わせ、ソフトウェア成果物の署名・検証・保護を容易にする、Linux Foundation のオープンソースプロジェクト。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

短命な鍵・OIDC ID・透明性ログを組み合わせ、ソフトウェア成果物の署名・検証・保護を容易にする、Linux Foundation のオープンソースプロジェクト。

Sigstore は連携する複数のサービスから構成されます。Cosign は成果物に署名し、Fulcio は OIDC を用いた無料の認証局として短命な署名証明書を発行し、Rekor は追記専用の公開透明性ログを提供します。開発者は GitHub や Google など既存の ID プロバイダーで認証し、Fulcio が短い有効期限の署名証明書を発行します。Cosign はコンテナ・バイナリ・SBOM・in-toto アテステーションに署名し、その署名を Rekor に記録します。検証時には Rekor のエントリから ID と署名を確認するだけで済み、長期に管理する秘密鍵が不要です。OCI コンテナ、パッケージレジストリ、SLSA に整合した CI/CD で広く採用され、サプライチェーン攻撃への防御に寄与しています。

Sigstore に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: sigstore。