关于 Sigstoreh
Sigstore.dev 是一个开源社区,致力于为软件供应链建立一个可信根。它提供了一 набор инструментов 和服务,使开发人员能够创建、管理和验证软件签名。
Sigstore 的主要组件包括:
- Cosign: 一个工具,用于创建和验证容器镜像、文件和 git 提交的签名。
- Rekor: 一个透明日志,存储已签名的元数据哈希。
- Fulcio: 一个验证服务,检查签名并验证软件的完整性。
- Transparency Logs: 存储签名元数据的可审计、防篡改的日志。
- Key Transparency: 提供公共密钥基础设施的可见性并防止密钥盗用。
Sigstore 旨在提高软件供应链的安全性,通过:
- 验证软件的真实性和完整性,防止恶意篡改。
- 建立信任根,允许开发人员和最终用户验证软件的出处。
- 促进协作,创建一个可信赖的软件生态系统,其中所有参与者都致力于安全和透明度。
Sigstore 已被广泛用于各种行业,包括科技、金融和政府。它获得了 Linux 基金会、Google Cloud 和 Microsoft 等主要组织的支持。