Sigstoreとは何ですか？

ソフトウェアサプライチェーンのコード署名フレームワーク。Cosign・Fulcio・Rekorの3コンポーネントで、コンテナイメージやバイナリの署名・検証を透明性ログで管理する。

Sigstoreのポイントは？

Cosignでコンテナイメージやファイルに署名、Fulcioで証明書を発行、Rekorで署名を透明性ログに記録する。秘密鍵を長期保存せずOIDC（OpenID Connect）トークンで署名できるkeyless署名をサポートする。Linux Foundation傘下のプロジェクトで、Google・Red Hat・Purdue大学が共同設立した。GitHubのOIDCトークンを使えばCI/CDパイプラインで自動署名できる

【シグストア】

Sigstore とは？

💡 コードの出所を証明する、ソフトウェアの戸籍制度

📌 このページのポイント

Cosignでコンテナイメージやファイルに署名、Fulcioで証明書を発行、Rekorで署名を透明性ログに記録する
秘密鍵を長期保存せずOIDC（OpenID Connect）トークンで署名できるkeyless署名をサポートする
Linux Foundation傘下のプロジェクトで、Google・Red Hat・Purdue大学が共同設立した
GitHubのOIDC トークンを使えばCI/CDパイプラインで自動署名できる

Sigstore：Cosign・Fulcio・Rekorの3コンポーネントによるコード署名フロー

ひよこ

Sigstoreって、コードに署名するためのもの？

ペンギン先生

そうだよ。配布するソフトウェアやコンテナイメージに署名して、「このファイルは本当にこの人が作って、途中で改ざんされていない」と証明できる仕組みなんだ。

ひよこ

コード署名って昔からあるんじゃないの？

ペンギン先生

従来の署名は秘密鍵の管理が大変で、鍵が漏れたら全署名が信用できなくなるリスクがあったんだ。SigstoreはOIDC トークンで一時的な証明書を使う「keyless署名」でその問題を解決したよ。

ひよこ

Cosign・Fulcio・Rekorって3つが出てきたけど、それぞれ何なの？

ペンギン先生

Cosignが実際に署名・検証するCLIツール、FulcioがOIDC トークンをもとに短命証明書を発行する認証局、RekorがすべてのCosign署名を記録する改ざんできない透明性ログだよ。

ひよこ

透明性ログって何がいいの？

ペンギン先生

全署名が公開ログに記録されるから、誰でも「この署名がいつ・どのIDで行われたか」を検証できるんだ。不正な署名があればすぐ発見できるよ。

ひよこ

GitHub ActionsのCI/CDで使えるって聞いたけど、設定は難しいの？

ペンギン先生

GitHubのOIDC トークンをそのまま使えるから意外とシンプルだよ。`cosign sign` コマンドにイメージ名を渡すだけで署名できて、秘密鍵の管理は不要なんだ。近年はKubernetesのリリースでも採用されてるよ。

まとめ：ざっくりこれだけ覚えればOK！

「Sigstore」って出てきたら「コンテナイメージやソフトウェアの改ざん検知・出所証明のフレームワーク」と思えればだいたいOK！

📖 おまけ：英語の意味

「Sigstore」＝署名のストア（保管庫）

💬 「Sig（Signature＝署名）」と「Store（保管庫）」を合わせた名前で、署名情報を透明性ログとして公開保管する仕組みを表してるんだよ

← 用語集にもどる