CodeZine(コードジン)

特集ページ一覧

GitHub Actionsにコンテナイメージへの署名機能が追加される

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2021/12/08 09:00

 米GitHubは、コンテナイメージの署名に対するsigstoreサポートを、GitHub Actionsスターターワークフローに統合し、開発者がデフォルトでコンテナイメージに署名できるようにしたことを、12月6日(現地時間)に発表した。

 同社は、オープンソースのセキュリティリスクから開発者を保護するための業界グループ「Open Software Security Foundation(OpenSSF)」の創設メンバーであり、同グループでは署名されたソフトウェア成果物の安全な構築、配布、検証を可能にするオープンソースセキュリティプロジェクトであるsigstoreを後援している。

 GitHub Actionsを使用したコンテナ署名には、複数の形式による署名キーとキーバリュー型のアノテーションをサポートする、cosignコマンドが使用される。

 独自の秘密鍵をプロビジョニングまたは管理することなく、GitHub Actionsが提供するOIDCトークンを使用してコンテナイメージに署名でき、GitHub Actionsワークフローの追加以外に設定が不要となっている。

 なお、GitHub Actionsによるキーレス署名には、ユーザー名、組織名、リポジトリ名、ワークフロー名を含む、Rekor形式の公開透明性ログが含まれているので、プライベートリポジトリ名がサードパーティのサービスに漏えいするのを防ぐために、プライベートリポジトリでは無効となる。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5