タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 署名の仕組み コンテナイメージ OCI Registryについて 署名の保存先 署名フォーマット 署名検証 検証が不十分な例 Blobs 参考 まとめ まえがき 鍵の管理不要でソフトウェア署名を可能にするKeyless Signingについて解説を書こうと思い、まず前提知識を書いていたら信じられないぐらい長くなったので前提知識だけで1つの記事になりました。 後述するsigstoreは急速に開発が進んでいるプロジェクトであり、ここで書いている記述
Linux Foundation、無料のソフトウェア署名サービス「sigstore」を発表 | スラド オープンソース
Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。 リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。
Sigstore によるコンテナイメージの Keyless Signing - Flatt Security Blog
This image includes the work that is distributed in the Apache License Version 2.0 こんにちは。株式会社Flatt SecurityでインターンをしているMarina (@marin_a___) です。本稿はソフトウェアサプライチェーン領域で注目を集める Sigstore プロジェクトについての記事です。 Sigstoreとは Cosign によるローカルの鍵ペアを用いた署名方法 公開鍵と秘密鍵のペアの作成 作成した鍵を用いたコンテナイメージの署名 公開鍵を用いた署名検証 小まとめ: 全体の流れ 鍵管理に関する課題 OpenID Connect を活用した署名(Keyless Signing) Keyless Signing の仕組み Keyless Signing の具体的な利用方法 方法1: 人力で認証を
OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に
OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に Linux傘下の団体としてオープンソースの安全性の向上を推進する「Open Source Security Foundation」(OpenSSF)は、コンテナなどソフトウェアの成果物に対する業界標準の電子署名サービス「Sigstore」がバージョン1.0に到達したことを発表しました。 Exciting news! @projectsigstore Announces General Availability at #SigstoreCon paving the way for every open source project to improve security by default https://t.co/sOW2qfPd3d #sigstore #
sigstore
sign. verify. protect. Make sure your software is what it claims to be.
Open SourceSecurityWhy we’re excited about the Sigstore general availabilityThe Sigstore GA means you can protect your software supply chain today with GitHub Actions, and will power new npm security capabilities in the near future. Sigstore is a powerful new technology for signing, verifying, and protecting software supply chains, and we’re very excited by today’s general availability announcemen
sigstoreのKeyless Signingでは何を検証しているのか - sometimes I laugh
最近、個人的にsigstoreのKeyless Signingがアツいです。以下のブログを読みました。 これらの記事は主にコンテナイメージの署名について解説しているのですが、sigstoreはバイナリの署名にも使えます。以前から、複数メンテナ体制で秘密鍵をどう共有しよう?とか、公開鍵の安全な配布方法って無くない?と考えていたので、渡りに船です。 チームでひとつの鍵を保守したい場合とかどうやってるんだろ、みんなに主キー配るんかな、まぁそりゃそうか...— wata (@wata727_) 2021年5月1日 リリースバイナリの署名に使った鍵をキーサーバーで公開してたら、今それ信用できんのでリポジトリに公開鍵入れてくれという話が来ていた、もう何も信用できないhttps://t.co/2g5diZxGIM— wata (@wata727_) 2019年12月24日 早速、採用に向けて色々調べてい
New request for comments on improving npm security with Sigstore is now open
Open SourceSecurityNew request for comments on improving npm security with Sigstore is now openSupply chain attacks exploit our implicit trust of open source to hurt developers and our customers. Read our proposal for how npm will significantly reduce supply chain attacks by signing packages with Sigstore. As stewards of the npm registry, we take the security of npm seriously and have continued to
CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。
GitHub - sigstore/gitsign: Keyless Git signing using Sigstore
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
[pre-RFC] Using Sigstore for signing and verifying crates
### Community Note * Please vote on this issue by adding a 👍 [reaction](https…://blog.github.com/2016-03-10-add-reactions-to-pull-requests-issues-and-comments/) to the original issue to help the community and maintainers prioritize this request * Please do not leave "+1" or "me too" comments, they generate extra noise for issue followers and do not help prioritize the request * If you are interes
![[pre-RFC] Using Sigstore for signing and verifying crates](https://cdn-ak-scissors.b.st-hatena.com/image/square/71479b5ecc3036c547c378fdc8815840708b4229/height=288;version=1;width=512/https%3A%2F%2Fglobal.discourse-cdn.com%2Fbusiness6%2Fuploads%2Frustlang%2Foriginal%2F2X%2Fb%2Fb71959a2097ce0b5c3a193ce0a6466a42d4c4952.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog
Why we're excited about the Sigstore general availability
Linux Foundation、無料の署名サービス「sigstore」を発表、ソフトウェアの信頼性向上に寄与
rui3.ue.bulog.jp
spsnagasaki.com
kamigame.jp
jyohonokissaten.com
doranekoweb.com
maria2.hn.weblog.vc