TOOLinux

Toute l’actu Linux & Open Source

Développeurs : ce qu’il faut savoir sur le projet Sigstore

jeudi 11 août 2022

Sigstore entend simplifier la signature, la vérification et la génération de métadonnées de signature structurées pour les artefacts et les signatures de conteneurs. Le projet open-source se concrétise.

Sigstore a été créé pour améliorer la technologie de la chaîne d’approvisionnement pour tous ceux qui utilisent des projets open source. C’est un projet développé pour des mainteneurs de logiciels libres... par des mainteneurs de logiciels libres. Il comprend un ensemble d’outils composés de technologies open source comme Fulcio, Cosign et Rekor.

Sigstore est un nouveau standard pour la signature, la vérification et la protection des logiciels. C’est un projet hébergé par la Fondation Linux et dont on vient d’apprendre qu’il était désormais accessible aux développeurs, mainteneurs de paquets et aux entreprises. Ces derniers peuvent déjà signer les artefacts publiés.

Les signataires peuvent également bénéficier des procédures existantes pour stocker et utiliser les clés de signature en toute sécurité. Sigstore peut être utilisé pour signer des artefacts avec des clés de signature existantes, autogérées et à longue durée de vie. Sigstore offre également un journal de transparence exploité par la communauté et libre d’utilisation pour vérifier la génération des signatures.

L’outillage et l’infrastructure de Sigstore peuvent être utilisés comme un tout ou de manière modulaire. Chaque intégration distincte peut contribuer à améliorer la sécurité de la distribution des artefacts tout en permettant des mises à jour incrémentielles et en vérifiant chaque étape de l’intégration.