.. _sigstoree:

전자서명 및 전자서명 검증을 위한 도구와 서비스(Sigstore)
========================================================

Sigstore 개요
----------------

`Sigstore`_ 는 소프트웨어 공급망 보안을 위해 설계된 개방형 분산 인프라입니다. 


| Sigstore는 소프트웨어를 서명하고, 서명을 검증하고, 서명을 추적할 수 있는 도구와 서비스를 제공합니다. 
| 또한 소프트웨어 공급망 보안을 개선하기 위해 설계된 프레임워크인 SLSA(Software Supply Chain Levels of Assurance)를 구현하기 위한 도구와 서비스를 제공합니다.

Sigstore는 소프트웨어 공급망 보안을 개선하기 위해 다음과 같은 기능을 제공합니다.

- 소프트웨어를 서명하여 소프트웨어의 무결성을 보장합니다.
- 서명을 검증하여 소프트웨어가 변조되지 않았는지 확인합니다.
- 서명을 추적하여 소프트웨어의 소스와 배포를 추적합니다.
- SLSA를 구현하여 소프트웨어 공급망의 보안을 향상시킵니다.

Sigstore는 소프트웨어 공급망 보안을 개선하기 위해 설계된 개방형 분산 인프라로, 소프트웨어 공급망의 보안을 향상시키는 데 도움이 될 수 있습니다. 

Genian NAC에서의 Sigstore
---------------------------

Genian NAC에서는 강화된 보안을 위하여 파일배포 플러그인v2에서는 **Sigstore에서 제공하는 소프트웨어 무결성 보장을 위한 도구** 를 사용합니다.

배포할 파일에 Sigstore에서 제공되는 **cosign** 이라는 전자서명 및 서명 검증을 위한 도구를 사용하며 추가적으로 검증을 위한 불변 원장 기반의 서비스에서 전자서명정보를 검증합니다. 

전자서명 검증을 위해 정책서버 및 플러그인에는 cosign 도구가 추가되어있습니다. 

.. _Sigstore: https://www.sigstore.dev