ITPE * JackerLab

개요Sigstore는 오픈소스 소프트웨어의 신뢰성과 무결성을 보장하기 위한 디지털 서명 및 감사 투명성 플랫폼입니다. 서명(signing), 투명성(transparency), 검증(verification)을 자동화하여, 공급망 공격(Supply Chain Attack)에 대한 방어력을 강화합니다. 특히 CNCF(Cloud Native Computing Foundation)에서 지원하고 있으며, Kubernetes, Python, Java 생태계에서도 빠르게 확산 중입니다.1. 개념 및 정의Sigstore는 개발자가 서명하고 사용자에게 검증 가능한 오픈소스 아티팩트(artifact)를 배포할 수 있도록 지원하는 도구 모음입니다. 소프트웨어가 누구에 의해, 어떤 상태에서 만들어졌는지를 증명하는 투명한 메타데..

개요Binary Transparency(바이너리 투명성)는 소프트웨어의 실행 파일(binary)에 대한 공개적이고 검증 가능한 배포 로그 시스템을 구축함으로써, 악성 코드 삽입, 백도어 추가 등 무단 변조를 방지하고 신뢰 가능한 소프트웨어 유통을 보장하는 보안 기술입니다. Certificate Transparency에서 착안된 개념으로, 공개 로그에 배포 이력을 기록하고 누구나 해당 이력이 변경되지 않았음을 검증할 수 있도록 설계되었습니다.1. 개념 및 정의Binary Transparency는 소프트웨어 배포 시 생성된 실행 파일의 해시값 또는 서명을 투명한 로그 서버에 기록하고, 이를 누구나 검증할 수 있는 방식입니다.로그는 Merkle Tree 기반으로 구성되어 불변성, 투명성 확보사용자와 보안 연구..