Подпись пакетов
Что такое Подпись пакетов?
Подпись пакетовПрименение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска.
Подпись пакета связывает артефакт (бинарник, библиотеку, контейнерный образ, пакет ОС, модуль языка) с криптографической идентичностью издателя. Верификаторы перед установкой или запуском сверяют подпись с ожидаемым ключом, сертификатом или записью в журнале прозрачности. Распространённые экосистемы: Sigstore Cosign для OCI-образов и пакетов языков, Linux-пакеты с GPG-подписью, Authenticode в Windows, codesign в macOS/iOS, Maven Central с PGP. Современная практика предпочитает короткоживущие ключи и OIDC-идентичности (Sigstore) долгосрочным офлайн-ключам, плюс журналы прозрачности (Rekor) для публичного аудита. Подпись пакетов дополняет SBOM, SLSA-проvenance и воспроизводимые сборки: она отвечает на вопрос «кто и в каком виде это выпустил», а остальные — «что внутри и как это сделано».
● Примеры
- 01
Подпись релизных бинарников с помощью Sigstore Cosign и публикация подписи в Rekor.
- 02
Проверка подписей Debian-пакетов через apt с использованием GPG-ключа дистрибутива.
● Частые вопросы
Что такое Подпись пакетов?
Применение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Подпись пакетов?
Применение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска.
Как защититься от Подпись пакетов?
Защита от Подпись пакетов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Подпись пакетов?
Распространённые альтернативные названия: Подпись кода, Подпись артефактов.