正文Sigstore 通过无密钥签名与公开透明日志降低签名密钥管理复杂度并提升可验证性。本文以前端构建产物为对象,说明 `cosign sign-blob` 与 `cosign attest` 的基础流程与验证方法。一、对构建产物进行签名cosign sign-blob --yes --output-signature dist/app.sig --output-certificate dist/app.crt dist/app.tar.gz 二、验证签名与透明日志收据cosign verify-blob --certificate dist/app.crt --signature dist/app.sig dist/app.tar.gz 三、生成 SLSA 断言并附加到产物cosign attest --yes --predicate predicate.json --type slsaprovenance dist/app.tar.gz 四、治理要点使用 OIDC 触发无密钥签名,证书由 Fulcio 颁发并在 Rekor 记录透明日志。在发布管道中生成 SLSA 断言,记录构建环境、来源仓库、提交哈希、依赖摘要等关键元数据。部署前对产物与断言进行验证,确保签名有效且透明日志可检索;验证失败时自动中止发布。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复