전자서명 및 전자서명 검증을 위한 도구와 서비스(Sigstore)
Sigstore 개요
Sigstore 는 소프트웨어 공급망 보안을 위해 설계된 개방형 분산 인프라입니다.
Sigstore는 소프트웨어를 서명하고, 서명을 검증하고, 서명을 추적할 수 있는 도구와 서비스를 제공합니다.
또한 소프트웨어 공급망 보안을 개선하기 위해 설계된 프레임워크인 SLSA(Software Supply Chain Levels of Assurance)를 구현하기 위한 도구와 서비스를 제공합니다.
Sigstore는 소프트웨어 공급망 보안을 개선하기 위해 다음과 같은 기능을 제공합니다.
소프트웨어를 서명하여 소프트웨어의 무결성을 보장합니다.
서명을 검증하여 소프트웨어가 변조되지 않았는지 확인합니다.
서명을 추적하여 소프트웨어의 소스와 배포를 추적합니다.
SLSA를 구현하여 소프트웨어 공급망의 보안을 향상시킵니다.
Sigstore는 소프트웨어 공급망 보안을 개선하기 위해 설계된 개방형 분산 인프라로, 소프트웨어 공급망의 보안을 향상시키는 데 도움이 될 수 있습니다.
Genian NAC에서의 Sigstore
Genian NAC에서는 강화된 보안을 위하여 파일배포 플러그인v2에서는 Sigstore에서 제공하는 소프트웨어 무결성 보장을 위한 도구 를 사용합니다.
배포할 파일에 Sigstore에서 제공되는 cosign 이라는 전자서명 및 서명 검증을 위한 도구를 사용하며 추가적으로 검증을 위한 불변 원장 기반의 서비스에서 전자서명정보를 검증합니다.
전자서명 검증을 위해 정책서버 및 플러그인에는 cosign 도구가 추가되어있습니다.