Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 881

软件包签名

审核人Cybersecurity entrepreneur & security researcher

软件包签名 是什么?

软件包签名对软件包进行加密签名,使使用者能够验证发布者身份并确认工件在发布后未被篡改。


软件包签名将一个工件(二进制、库、容器镜像、操作系统包、语言模块)与发布者的加密身份绑定。验证方在安装或运行前,会将签名与期望的密钥、证书或透明日志条目对照。常见生态包括 Sigstore Cosign(OCI 镜像与语言包)、GPG 签名的 Linux 发行包、Windows 的 Authenticode、macOS/iOS 的 codesign,以及使用 PGP 的 Maven Central。现代实践倾向使用短期密钥与基于 OIDC 的身份(Sigstore),搭配透明日志(Rekor)以提供可公开审计性,而不是长期保管离线密钥。包签名与 SBOM、SLSA provenance、可复现构建互为补充:它回答"是谁发布的、是否完整?",其他工具则回答"里面有什么、是怎么造的?"。

示例

  1. 01

    用 Sigstore Cosign 对发布版本的二进制签名,并把签名记录到 Rekor。

  2. 02

    通过 apt 与发行版 GPG 公钥验证 Debian 软件包签名。

常见问题

软件包签名 是什么?

对软件包进行加密签名,使使用者能够验证发布者身份并确认工件在发布后未被篡改。 它属于网络安全的 应用安全 分类。

软件包签名 是什么意思?

对软件包进行加密签名,使使用者能够验证发布者身份并确认工件在发布后未被篡改。

如何防御 软件包签名?

针对 软件包签名 的防御通常结合技术控制与运营实践,详见上方完整定义。

软件包签名 还有哪些其他名称?

常见的别称包括: 代码签名, 工件签名。

相关术语

另见