gitsign
Security-as-Code
Bezkluczowe podpisywanie commitów Git przez Sigstore.
gitsign umożliwia podpisywanie commitów i tagów Git bez zarządzania długożyciowymi kluczami — wykorzystuje Sigstore (keyless): tożsamość OIDC, krótkożyciowy certyfikat i publiczny log przejrzystości (Rekor). Dzięki temu autentyczność historii repo staje się weryfikowalna i automatyzowalna, co wzmacnia bezpieczeństwo łańcucha dostaw oprogramowania.
Kiedy używać
- Chcesz podpisywać commity bez utrzymywania kluczy GPG.
- Wzmacniasz integralność łańcucha dostaw (provenance).
- Weryfikujesz autentyczność commitów w CI.
Przykład użycia
git config --local commit.gpgsign true
git config --local gpg.x509.program gitsign
git config --local gpg.format x509
git commit -m "feat: nowy wpis katalogu" # podpis keyless przez Sigstore
Warto wiedzieć
- Bezkluczowy model: tożsamość OIDC + krótkożyciowy cert + log Rekor.
- Element szerszego ekosystemu Sigstore (cosign) do podpisywania artefaktów.