sigstore
代码签名与发布制品完整性治理(Sigstore-Cosign-公钥轮换)最佳实践
以哈希绑定与签名校验保障发布制品完整性,并通过密钥轮换与双证书策略提升供应链可信度。
Sigstore Cosign 与 SLSA 供应链证明发布治理实践
使用 Sigstore Cosign 在无密钥模式为前端构建产物进行签名与证明,并生成 SLSA 断言,借助公共透明日志实现可追溯与可验证的资产发布治理。
Sigstore透明日志验证与发行方治理(Rekor-Fulcio-时间窗口)最佳实践
通过验证透明日志条目与发行方证书信息,并校验时间窗口与算法,提升发布制品的可验证性与可信度。
Sigstore/Cosign镜像签名与验证实践
使用Cosign对容器镜像进行签名与验证,提供可验证的命令与策略要点,提升供应链安全与可追溯性。
CI/CD供应链安全:SBOM、Sigstore与SLSA落地
在交付流水线中引入 SBOM、签名与溯源,基于 Sigstore 与 SLSA 框架构建可验证的供应链安全体系。
