Sigstore透明日志验证与发行方治理(Rekor-Fulcio-时间窗口)最佳实践
通过验证透明日志条目与发行方证书信息,并校验时间窗口与算法,提升发布制品的可验证性与可信度。
rekor
Sigstore Cosign 与 SLSA 供应链证明发布治理实践
使用 Sigstore Cosign 在无密钥模式为前端构建产物进行签名与证明,并生成 SLSA 断言,借助公共透明日志实现可追溯与可验证的资产发布治理。
Docker 镜像签名与供应链安全实践
使用 Cosign 为镜像进行签名与验证,并结合透明日志与附加元数据提升供应链安全
