オープンソース ソフトウェアのサプライ チェーンを保護する目的で、Google、Red Hat、GitHub、およびその他の著名な組織によって支援されている.
今週、Sigstore は一般提供のマイルストーンを祝い、Rekor 透明性ログと Fulcio 認証局ソフトウェアの v1.0 ソフトウェアをリリースしました。 Sigstore は現在、ソフトウェア アーティファクトの署名と検証に関して、それ自体が製品グレードであると考えています。
Sigstore は、コードに署名し、透明性ログを使用して署名を検証し、ソフトウェア サプライ チェーンを安全に審査するためのアクティビティを監視するための、暗号化に裏打ちされた簡単な手段を提供します。 sigstore.dev のプロジェクト サイトで、Sigstore は次のように説明しています。
sigstore はツール開発者、ソフトウェアのセットです。メンテナー、パッケージ マネージャー、およびセキュリティの専門家が恩恵を受けることができます。 Fulcio、Cosign、Rekor などの無料で使用できるオープン ソース テクノロジを組み合わせて、オープン ソース ソフトウェアの配布と使用をより安全にするために必要なデジタル署名、検証、出所のチェックを処理します。
標準化されたアプローチ
これは、配布用にアップロードされたオープンソース ソフトウェアが、改ざんされていないことを確認するためのより厳密で標準化された方法を備えていることを意味します。鍵が侵害されるリスクがないため、サード パーティがリリースを乗っ取って悪意のあるものを挿入することはできません。
今週の Sigstore の一般提供について詳しく知りたい方は、それに関する詳細情報をお読みください。 Google オープンソース ブログおよびSigstore ブログ。