恐ろしく長い上に割と複雑なので最後まで読む人はほとんどいないと思うのですが、将来確実に忘れてしまう自分のために書いたので別に悲しくありません。 まえがき 背景 sigstoreの概要 sigstoreを構成するツール群 Cosign Rekor Fulcio 署名方法 コンテナイメージ 鍵ペアの生成 署名 検証 Blobs 鍵ペアの生成 署名 検証 署名の仕組み コンテナイメージ OCI Registryについて 署名の保存先 署名フォーマット 署名検証 検証が不十分な例 Blobs 参考 まとめ まえがき 鍵の管理不要でソフトウェア署名を可能にするKeyless Signingについて解説を書こうと思い、まず前提知識を書いていたら信じられないぐらい長くなったので前提知識だけで1つの記事になりました。 後述するsigstoreは急速に開発が進んでいるプロジェクトであり、ここで書いている記述
Linux Foundation、無料のソフトウェア署名サービス「sigstore」を発表 | スラド オープンソース
Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。 リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。
Sigstore によるコンテナイメージの Keyless Signing - Flatt Security Blog
This image includes the work that is distributed in the Apache License Version 2.0 こんにちは。株式会社Flatt SecurityでインターンをしているMarina (@marin_a___) です。本稿はソフトウェアサプライチェーン領域で注目を集める Sigstore プロジェクトについての記事です。 Sigstoreとは Cosign によるローカルの鍵ペアを用いた署名方法 公開鍵と秘密鍵のペアの作成 作成した鍵を用いたコンテナイメージの署名 公開鍵を用いた署名検証 小まとめ: 全体の流れ 鍵管理に関する課題 OpenID Connect を活用した署名(Keyless Signing) Keyless Signing の仕組み Keyless Signing の具体的な利用方法 方法1: 人力で認証を
OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に
OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に Linux傘下の団体としてオープンソースの安全性の向上を推進する「Open Source Security Foundation」(OpenSSF)は、コンテナなどソフトウェアの成果物に対する業界標準の電子署名サービス「Sigstore」がバージョン1.0に到達したことを発表しました。 Exciting news! @projectsigstore Announces General Availability at #SigstoreCon paving the way for every open source project to improve security by default https://t.co/sOW2qfPd3d #sigstore #
sigstore
sign. verify. protect. Make sure your software is what it claims to be.
Open SourceSecurityWhy we’re excited about the Sigstore general availabilityThe Sigstore GA means you can protect your software supply chain today with GitHub Actions, and will power new npm security capabilities in the near future. Sigstore is a powerful new technology for signing, verifying, and protecting software supply chains, and we’re very excited by today’s general availability announcemen
sigstoreのKeyless Signingでは何を検証しているのか - sometimes I laugh
最近、個人的にsigstoreのKeyless Signingがアツいです。以下のブログを読みました。 これらの記事は主にコンテナイメージの署名について解説しているのですが、sigstoreはバイナリの署名にも使えます。以前から、複数メンテナ体制で秘密鍵をどう共有しよう?とか、公開鍵の安全な配布方法って無くない?と考えていたので、渡りに船です。 チームでひとつの鍵を保守したい場合とかどうやってるんだろ、みんなに主キー配るんかな、まぁそりゃそうか...— wata (@wata727_) 2021年5月1日 リリースバイナリの署名に使った鍵をキーサーバーで公開してたら、今それ信用できんのでリポジトリに公開鍵入れてくれという話が来ていた、もう何も信用できないhttps://t.co/2g5diZxGIM— wata (@wata727_) 2019年12月24日 早速、採用に向けて色々調べてい
New request for comments on improving npm security with Sigstore is now open
Open SourceSecurityNew request for comments on improving npm security with Sigstore is now openSupply chain attacks exploit our implicit trust of open source to hurt developers and our customers. Read our proposal for how npm will significantly reduce supply chain attacks by signing packages with Sigstore. As stewards of the npm registry, we take the security of npm seriously and have continued to
CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。
GitHub - sigstore/gitsign: Keyless Git signing using Sigstore
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
[pre-RFC] Using Sigstore for signing and verifying crates
### Community Note * Please vote on this issue by adding a 👍 [reaction](https…://blog.github.com/2016-03-10-add-reactions-to-pull-requests-issues-and-comments/) to the original issue to help the community and maintainers prioritize this request * Please do not leave "+1" or "me too" comments, they generate extra noise for issue followers and do not help prioritize the request * If you are interes
![[pre-RFC] Using Sigstore for signing and verifying crates](https://cdn-ak-scissors.b.st-hatena.com/image/square/71479b5ecc3036c547c378fdc8815840708b4229/height=288;version=1;width=512/https%3A%2F%2Fglobal.discourse-cdn.com%2Fbusiness6%2Fuploads%2Frustlang%2Foriginal%2F2X%2Fb%2Fb71959a2097ce0b5c3a193ce0a6466a42d4c4952.png)
Don’t Panic: A Playbook for Handling Account Compromise with Sigstore - Sigstore Blog
Don’t Panic: A Playbook for Handling Account Compromise with SigstoreApr 25, 2022 by Zachary Newman Photo by Tonik on Unsplash Despite your best efforts, you may no longer trust artifacts, keys, or identities when signing software. A container might turn out to have vulnerabilities, a key might be lost, or worse: a trusted account could be compromised. There’s a myth that Sigstore makes revocation
Linux Foundation、オープンソースソフトウェアの署名を容易にする「Sigstore」 | OSDN Magazine
非営利団体Linux Foundationは3月9日(米国時間)、最新のプロジェクト「Sigstore」を発表した。リリースファイルへの署名を容易にすることで、ソフトウェアサプライチェーン攻撃に対する保護対策を進める狙い。 Sigstoreは、x.509 PKIと透明性のあるログ(Transparency Logs)を組み合わせたソフトウェア署名サービス。これを使ってリリースファイル、コンテナイメージ、バイナリなどのソフトウェアアーティファクトへの署名を行うことができる。 2020年末に米Solarwindsのプラットフィームを悪用した攻撃が行われていたことが確認されるなど、アップデートの仕組みを悪用するサプライチェーン攻撃の問題が指摘されている。Linux Foundationによると、オープンソースソフトウェアでソフトウェアアーティファクトに署名をしているケースは少なく、その原因として
ソフトウエアサプライチェーンのセキュリティー強化につながるsigstoreとは(前) - ソフトウエアサプライチェーンのセキュリティー強化につながるsigstoreと...:CIO Magazine
sigstoreの導入例 こうした技術の価値はsigstoreの開発チームが自負しているだけのものではない。Kubernetesは電子署名をsigstoreで標準化することを明らかにし、最新バージョンの1.24で導入した。正規のディストリビューションを利用しているかどうかを利用者が確認できる。 また、非営利組織Linux FoundationとOpen Source Security Foundation(OpenSSF)がソフトウエアサプライチェーンのセキュリティー強化に向けた提言として5月に公開した「Open Source Software Security Mobilization Plan」も、サプライチェーンの信頼性強化に必要なアクションの1つとして電子署名を取り上げ、その具体策としてsigstoreプロジェクトを挙げている。 sigstoreの構成 今やITリーダーの90%がオ
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
headless 曰く、 Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。 リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。 スラド
Linux Foundation、ソフトウェアの出所と真正性を確認する無料のsigstore署名サービスを発表 - The Linux Foundation
Linux Foundation、ソフトウェアの出所と真正性を確認する無料のsigstore署名サービスを発表 ソフトウェア メンテナ、ディストリビュータ、コンシューマが、コード、アーティファクト、ツールに完全な信頼を置けるようにするための取り組み ー Red Hat、Google、パデュー大学がリード 本リリースは、Linux Foundation Announces Free sigstore Signing Service to Confirm Origin and Authenticity of Softwareの参考訳です。 2021年3月9日 サンフランシスコ発 ― オープンソースを通じて大規模イノベーションを実現する非営利団体Linux Foundationは、sigstoreプロジェクトを発表しました。sigstoreは、透明性が確保されたログテクノロジを基盤とした暗号化ソ
第2回 Open Source Security Foundation (OpenSSF) Meetup その3 (Mobilization Plan & Sigstore) - JAPANSecuritySummit Update
HOME ブログ 第2回 Open Source Security Foundation (OpenSSF) Meetup その3 (Mobilization Plan & Sigstore)
Sigstore Toolsを触ってみる - Qiita
はじめに Z LabではこれまでSPIFFE/SPIREなどのソフトウェアを使ったIdentityの配布(Identiy Bootstrapping/Identity Provisioning)に取り組んできました。その中の1つとしてOpenStack環境でのVM Nodeを検証するためのプラグインを開発し、信用できるVMの上でアプリケーションを動作させることができるようになりました。 参考資料: https://www.slideshare.net/techblogyahoo/openstack-248310680 https://speakerdeck.com/hiyosi/using-spire-as-identity-provider-for-athenz-at-yahoo-japan しかし、そのうえで動作するアプリケーションは信用できるものと言えるでしょうか。 SPIREではア
Sigstore で OSS コード署名
注意 Sigstore の Keyless Signing は開発段階で実験的に実装されているため、今後本稿で説明している内容から仕様や実装方法が変更する可能性があります。 サイバートラストは、オープンソースソフトウェアに署名と検証を行い、OSS のサプライチェーンを保護するための標準規格およびサービスである Sigstore 運用可能性の検討に取り組んでおり、本記事では検討の一次成果として、Sigstore の仕組みについての調査結果を解説します。 経緯 2021 年 7 月にサイバートラストが Open Source Security Foundation(以下、OpenSSF)に参画しました。 多くのオープンソースソフトウェア(OSS)は、コミュニティの主導で開発されており、全体の品質やメンテナンスに責任を持つ中央機関がなく、ソースコードの再利用が可能でバージョン管理や依存関係が複雑
Kubernetes 1.24がリリース、コード署名でsigstoreを採用、Dockersimは削除:テーマは「星を見る人」 Kubernetesプロジェクトは2022年5月3日(米国時間)に、Kubernetes 1.24をリリースした。今回は46の機能拡張および変更がある。ストレージ容量トラッキングや自動ボリューム拡張、Dockersimの削除などのトピックがある。 Kubernetesプロジェクトは2022年5月3日(米国時間)、Kubernetes 1.24をリリースした。 Kubernetesではリリースごとにテーマとロゴを決めているが、今回のテーマは「Stargazer(星を見る人)」だという。今回のリリースでは、Kubernetesの開発者およびユーザーがコミュニティとして集結することで、何ができるのかを見上げる様子をイメージしたという。 Kubernetesでは、機能の成
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
sigstoreによるコンテナイメージやソフトウェアの署名 - knqyf263's blog
Why we're excited about the Sigstore general availability
Linux Foundation、無料の署名サービス「sigstore」を発表、ソフトウェアの信頼性向上に寄与
Linux Foundation Sigstoreがコード署名の暗号化を目指す
Linux Foundation、無料のソフトウェア署名サービス「sigstore」発表 | 財経新聞
Kubernetes 1.24がリリース、コード署名でsigstoreを採用、Dockersimは削除