Sigstore
Что такое Sigstore?
SigstoreOpen-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
Sigstore — это набор взаимодействующих сервисов: Cosign подписывает артефакты, Fulcio выступает бесплатным удостоверяющим центром на основе OIDC, выдающим короткоживущие подписи, а Rekor — публичный append-only журнал прозрачности подписей. Разработчики аутентифицируются через существующего провайдера идентичности (GitHub, Google и др.), Fulcio выдаёт кратковременный сертификат подписи, Cosign подписывает контейнеры, бинарники, SBOM или аттестации in-toto и сохраняет подпись в Rekor. Верификация считывает запись из журнала и проверяет личность и подпись, не требуя долгоживущих закрытых ключей. Sigstore широко применяется в OCI-экосистемах контейнеров, реестрах пакетов и SLSA-совместимых пайплайнах для защиты цепочки поставок.
● Примеры
- 01
Подпись контейнерных образов в CI с помощью Cosign и проверка их при admission в Kubernetes.
- 02
Публикация подписанных SBOM и аттестаций in-toto в Rekor для общественной верификации.
● Частые вопросы
Что такое Sigstore?
Open-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Sigstore?
Open-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
Как работает Sigstore?
Sigstore — это набор взаимодействующих сервисов: Cosign подписывает артефакты, Fulcio выступает бесплатным удостоверяющим центром на основе OIDC, выдающим короткоживущие подписи, а Rekor — публичный append-only журнал прозрачности подписей. Разработчики аутентифицируются через существующего провайдера идентичности (GitHub, Google и др.), Fulcio выдаёт кратковременный сертификат подписи, Cosign подписывает контейнеры, бинарники, SBOM или аттестации in-toto и сохраняет подпись в Rekor. Верификация считывает запись из журнала и проверяет личность и подпись, не требуя долгоживущих закрытых ключей. Sigstore широко применяется в OCI-экосистемах контейнеров, реестрах пакетов и SLSA-совместимых пайплайнах для защиты цепочки поставок.
Как защититься от Sigstore?
Защита от Sigstore обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Sigstore?
Распространённые альтернативные названия: sigstore.
● Связанные термины
- appsec№ 226
Cosign
Open-source CLI из проекта Sigstore для подписи, верификации и аттестации OCI-артефактов и другого ПО, поддерживающий рабочие процессы как с ключами, так и без них.
- appsec№ 522
in-toto
Открытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts — выпущенный OpenSSF набор требований по уровням, который последовательно ужесточает практики сборки, подписи и верификации ПО для защиты от вмешательства в цепочку поставок.
- appsec№ 1069
Безопасность цепочки поставок ПО
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
- appsec№ 784
Подпись пакетов
Применение криптографической подписи к программному пакету, чтобы потребители могли проверить личность издателя и убедиться, что артефакт не был изменён после выпуска.
- appsec№ 870
Аттестация происхождения (Provenance Attestation)
Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.