Подпись пакетов
Что такое Подпись пакетов?
Подпись пакетовПрименение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска.
Подпись пакета связывает артефакт (бинарник, библиотеку, контейнерный образ, пакет ОС, модуль языка) с криптографической идентичностью издателя. Верификаторы перед установкой или запуском сверяют подпись с ожидаемым ключом, сертификатом или записью в журнале прозрачности. Распространённые экосистемы: Sigstore Cosign для OCI-образов и пакетов языков, Linux-пакеты с GPG-подписью, Authenticode в Windows, codesign в macOS/iOS, Maven Central с PGP. Современная практика предпочитает короткоживущие ключи и OIDC-идентичности (Sigstore) долгосрочным офлайн-ключам, плюс журналы прозрачности (Rekor) для публичного аудита. Подпись пакетов дополняет SBOM, SLSA-проvenance и воспроизводимые сборки: она отвечает на вопрос «кто и в каком виде это выпустил», а остальные — «что внутри и как это сделано».
● Примеры
- 01
Подпись релизных бинарников с помощью Sigstore Cosign и публикация подписи в Rekor.
- 02
Проверка подписей Debian-пакетов через apt с использованием GPG-ключа дистрибутива.
● Частые вопросы
Что такое Подпись пакетов?
Применение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Подпись пакетов?
Применение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска.
Как работает Подпись пакетов?
Подпись пакета связывает артефакт (бинарник, библиотеку, контейнерный образ, пакет ОС, модуль языка) с криптографической идентичностью издателя. Верификаторы перед установкой или запуском сверяют подпись с ожидаемым ключом, сертификатом или записью в журнале прозрачности. Распространённые экосистемы: Sigstore Cosign для OCI-образов и пакетов языков, Linux-пакеты с GPG-подписью, Authenticode в Windows, codesign в macOS/iOS, Maven Central с PGP. Современная практика предпочитает короткоживущие ключи и OIDC-идентичности (Sigstore) долгосрочным офлайн-ключам, плюс журналы прозрачности (Rekor) для публичного аудита. Подпись пакетов дополняет SBOM, SLSA-проvenance и воспроизводимые сборки: она отвечает на вопрос «кто и в каком виде это выпустил», а остальные — «что внутри и как это сделано».
Как защититься от Подпись пакетов?
Защита от Подпись пакетов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Подпись пакетов?
Распространённые альтернативные названия: Подпись кода, Подпись артефактов.
● Связанные термины
- appsec№ 226
Cosign
Open-source CLI из проекта Sigstore для подписи, верификации и аттестации OCI-артефактов и другого ПО, поддерживающий рабочие процессы как с ключами, так и без них.
- appsec№ 1044
Sigstore
Open-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
- appsec№ 1069
Безопасность цепочки поставок ПО
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
- appsec№ 870
Аттестация происхождения (Provenance Attestation)
Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.
- cryptography№ 321
Цифровая подпись
Криптографический механизм с открытым ключом, доказывающий подлинность, целостность и невозможность отказа от авторства сообщения или документа.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts — выпущенный OpenSSF набор требований по уровням, который последовательно ужесточает практики сборки, подписи и верификации ПО для защиты от вмешательства в цепочку поставок.