Linux Foundationは、透過性ログテクノロジによる暗号化ソフトウェア署名を簡単に採用できるようにすることで、ソフトウェアサプライチェーンのセキュリティを向上させる「sigstore」プロジェクトを、3月9日(現地時間)に発表した。
sigstoreは、リリースファイル、コンテナイメージ、バイナリといったソフトウェアアーティファクトへの安全な署名を可能にする。署名資料は改ざん防止の公開ログに保存され、同サービスはsigstoreコミュニティによって開発されたsigstoreコードと操作ツールを使用し、すべての開発者やソフトウェアプロバイダが無料で使用できる。
sigstoreを使用してソフトウェアへの署名を行うことで、ソフトウェアの来歴、整合性、発見可能性を兼ね備えた、透明性の高いソフトウェアサプライチェーンの構築が可能になる。
なお、同プロジェクトの創設メンバーには、米Red Hat、米Google、米パデュー大学が含まれている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
