概述

正确保护软件供应链不仅仅涉及将时间点扫描作为 DevSecOps CI/CD 管道的一部分。在包括谷歌、Linux 基金会、红帽和普渡大学在内的工作伙伴关系的帮助下，sigstore 汇集了一组工具，开发人员、软件维护人员、包管理人员和安全专家可以从中受益。它处理数字签名、验证和日志数据以进行透明审计，从而更安全地分发和使用任何已签名的软件。目标是为每个人提供免费透明的监管链追踪服务。此 sigstore 服务将作为非营利性公益服务运行，以提供软件签名。 Cosign 于 2021 年 7 月发布了 1.0 版本，对存储在开放容器倡议 (OCI) 注册表中的工件进行签名和验证。它还包括用于存储和发现签名的基础规范。 Fulcio 是用于代码签名证书的根证书颁发机构 (CA)。它根据 Open ID Connect (OIDC) 电子邮件地址颁发证书。Fulcio 颁发给客户以便他们签署工件的证书是短暂的。因此，用户可以签署东西，而不必担心保护私钥（或者在私钥被泄露时试图撤销私钥）。 Rekor 提供不可变、防篡改的透明分类帐和时间戳服务，并在软件供应链中生成元数据。软件维护者和构建系统可以将签名的元数据记录到不可变记录中。然后其他方可以查询所述元数据，让他们就对象生命周期的信任和不可否认性做出明智的决定。

sigstore/sigstore 包含通用的Sigstore代码：即由基础设施（例如，Fulcio和Rekor）和 Go 语言客户端（例如，Cosign和Gitsign）共享的代码。

该库目前提供：

• 签名接口（支持 ecdsa、ed25519、rsa、DSSE (in-toto)）
• OpenID Connect fulcio 客户端代码

以下 KMS 系统可用：

• AWS 密钥管理服务
• Azure 密钥保管库
• HashiCorp 金库
• 谷歌云平台密钥管理服务

例如代码，看每个主要代码文件的相关测试代码。

模糊测试