Entry № 1162
Sigstore
Sigstore 是什么?
SigstoreLinux 基金会下的开源项目,通过短期密钥、OIDC 身份和透明日志,使签名、验证与保护软件工件变得简单。
Sigstore 由若干相互配合的服务组成:Cosign 负责对工件签名;Fulcio 是免费的基于 OIDC 的证书颁发机构,签发短期签名证书;Rekor 是只追加的公共透明日志。开发者使用 GitHub、Google 等已有身份提供商认证后,Fulcio 颁发短期签名证书,Cosign 用其对容器、二进制、SBOM 或 in-toto 证明进行签名,并将签名写入 Rekor。验证时从日志中取得条目并校验身份与签名,无需长期维护私钥。Sigstore 已在 OCI 容器生态、包管理器以及对齐 SLSA 的流水线中得到广泛应用,有效防御供应链攻击。
● 示例
- 01
在 CI 中用 Cosign 签名容器镜像,并在 Kubernetes 准入控制中验证。
- 02
把签名后的 SBOM 与 in-toto 证明发布到 Rekor 以供公开验证。
● 常见问题
Sigstore 是什么?
Linux 基金会下的开源项目,通过短期密钥、OIDC 身份和透明日志,使签名、验证与保护软件工件变得简单。 它属于网络安全的 应用安全 分类。
Sigstore 是什么意思?
Linux 基金会下的开源项目,通过短期密钥、OIDC 身份和透明日志,使签名、验证与保护软件工件变得简单。
如何防御 Sigstore?
针对 Sigstore 的防御通常结合技术控制与运营实践,详见上方完整定义。
Sigstore 还有哪些其他名称?
常见的别称包括: sigstore。