Sigstore
O que é Sigstore?
SigstoreProjeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
O Sigstore é um conjunto de serviços cooperantes: Cosign para assinar artefactos, Fulcio como autoridade certificadora gratuita baseada em OIDC que emite certificados de assinatura efémeros, e Rekor, um registo público append-only de transparência. Os programadores autenticam-se com o seu fornecedor de identidade existente (GitHub, Google, etc.) e o Fulcio emite um certificado de assinatura curto; o Cosign assina contentores, binários, SBOM ou atestações in-toto e regista a assinatura no Rekor. A verificação consulta o log e confirma identidade e assinatura sem chaves privadas de longa duração para gerir. O Sigstore é largamente usado em ecossistemas OCI, registos de pacotes e pipelines alinhados com SLSA para defender a cadeia de fornecimento.
● Exemplos
- 01
Assinar imagens de contentor em CI com Cosign e verificá-las no admission do Kubernetes.
- 02
Publicar SBOM assinados e atestações in-toto no Rekor para verificação pública.
● Perguntas frequentes
O que é Sigstore?
Projeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Sigstore?
Projeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
Como se defender contra Sigstore?
As defesas contra Sigstore costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sigstore?
Nomes alternativos comuns: sigstore.