Sigstore
Что такое Sigstore?
SigstoreOpen-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
Sigstore — это набор взаимодействующих сервисов: Cosign подписывает артефакты, Fulcio выступает бесплатным удостоверяющим центром на основе OIDC, выдающим короткоживущие подписи, а Rekor — публичный append-only журнал прозрачности подписей. Разработчики аутентифицируются через существующего провайдера идентичности (GitHub, Google и др.), Fulcio выдаёт кратковременный сертификат подписи, Cosign подписывает контейнеры, бинарники, SBOM или аттестации in-toto и сохраняет подпись в Rekor. Верификация считывает запись из журнала и проверяет личность и подпись, не требуя долгоживущих закрытых ключей. Sigstore широко применяется в OCI-экосистемах контейнеров, реестрах пакетов и SLSA-совместимых пайплайнах для защиты цепочки поставок.
● Примеры
- 01
Подпись контейнерных образов в CI с помощью Cosign и проверка их при admission в Kubernetes.
- 02
Публикация подписанных SBOM и аттестаций in-toto в Rekor для общественной верификации.
● Частые вопросы
Что такое Sigstore?
Open-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Sigstore?
Open-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
Как защититься от Sigstore?
Защита от Sigstore обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Sigstore?
Распространённые альтернативные названия: sigstore.