← Katalog
E I A C

gitsign

Security-as-Code

Bezkluczowe podpisywanie commitów Git przez Sigstore.

★ 1100 Apache-2.0 #security#supply-chain#signing#sigstore

gitsign umożliwia podpisywanie commitów i tagów Git bez zarządzania długożyciowymi kluczami — wykorzystuje Sigstore (keyless): tożsamość OIDC, krótkożyciowy certyfikat i publiczny log przejrzystości (Rekor). Dzięki temu autentyczność historii repo staje się weryfikowalna i automatyzowalna, co wzmacnia bezpieczeństwo łańcucha dostaw oprogramowania.

Kiedy używać

  • Chcesz podpisywać commity bez utrzymywania kluczy GPG.
  • Wzmacniasz integralność łańcucha dostaw (provenance).
  • Weryfikujesz autentyczność commitów w CI.

Przykład użycia

git config --local commit.gpgsign true
git config --local gpg.x509.program gitsign
git config --local gpg.format x509
git commit -m "feat: nowy wpis katalogu"   # podpis keyless przez Sigstore

Warto wiedzieć

  • Bezkluczowy model: tożsamość OIDC + krótkożyciowy cert + log Rekor.
  • Element szerszego ekosystemu Sigstore (cosign) do podpisywania artefaktów.