Sigstore
O que é Sigstore?
SigstoreProjeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
O Sigstore é um conjunto de serviços cooperantes: Cosign para assinar artefactos, Fulcio como autoridade certificadora gratuita baseada em OIDC que emite certificados de assinatura efémeros, e Rekor, um registo público append-only de transparência. Os programadores autenticam-se com o seu fornecedor de identidade existente (GitHub, Google, etc.) e o Fulcio emite um certificado de assinatura curto; o Cosign assina contentores, binários, SBOM ou atestações in-toto e regista a assinatura no Rekor. A verificação consulta o log e confirma identidade e assinatura sem chaves privadas de longa duração para gerir. O Sigstore é largamente usado em ecossistemas OCI, registos de pacotes e pipelines alinhados com SLSA para defender a cadeia de fornecimento.
● Exemplos
- 01
Assinar imagens de contentor em CI com Cosign e verificá-las no admission do Kubernetes.
- 02
Publicar SBOM assinados e atestações in-toto no Rekor para verificação pública.
● Perguntas frequentes
O que é Sigstore?
Projeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Sigstore?
Projeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
Como funciona Sigstore?
O Sigstore é um conjunto de serviços cooperantes: Cosign para assinar artefactos, Fulcio como autoridade certificadora gratuita baseada em OIDC que emite certificados de assinatura efémeros, e Rekor, um registo público append-only de transparência. Os programadores autenticam-se com o seu fornecedor de identidade existente (GitHub, Google, etc.) e o Fulcio emite um certificado de assinatura curto; o Cosign assina contentores, binários, SBOM ou atestações in-toto e regista a assinatura no Rekor. A verificação consulta o log e confirma identidade e assinatura sem chaves privadas de longa duração para gerir. O Sigstore é largamente usado em ecossistemas OCI, registos de pacotes e pipelines alinhados com SLSA para defender a cadeia de fornecimento.
Como se defender contra Sigstore?
As defesas contra Sigstore costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sigstore?
Nomes alternativos comuns: sigstore.
● Termos relacionados
- appsec№ 226
Cosign
CLI open source do projeto Sigstore para assinar, verificar e atestar artefactos OCI e outros softwares, em modo com ou sem chaves de longa duração.
- appsec№ 522
in-toto
Framework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado pelo OpenSSF que endurece progressivamente a forma como o software é construído, assinado e verificado contra manipulação da cadeia de fornecimento.
- appsec№ 1069
Segurança da cadeia de fornecimento de software
Disciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
- appsec№ 784
Assinatura de pacotes
Aplicação de uma assinatura criptográfica a um pacote de software para que os consumidores verifiquem a identidade do publicador e que o artefacto não foi alterado após a publicação.
- appsec№ 870
Atestação de proveniência
Declaração assinada e verificável por máquina que descreve como um artefacto de software foi produzido - fonte, sistema de build, parâmetros e dependências - para os consumidores confiarem na sua origem.