Signing Is for the Bad Days

이 글은 소프트웨어 공급망 보안 강화를 위한 세 가지 주요 프로젝트인 TUF, in-toto, Sigstore를 소개하며, 각각이 레지스트리, 빌드 파이프라인, 키 관리의 위협 모델을 어떻게 다루는지 설명한다. TUF는 레지스트리 침해를 가정하고 역할별 키 분할로 공격을 방어하며, in-toto는 빌드 파이프라인 내 단계별 증명을 통해 무결성을 검증한다. Sigstore는 장기 키 관리를 없애고 단기 인증서와 공개 투명성 로그를 활용해 개발자 부담을 줄이고 보안을 강화한다. 이들 기술은 모두 침해 상황을 전제로 설계되어, 정상 작동 시에는 차이를 느끼기 어렵지만 공격 발생 시 피해를 크게 줄인다.

https://nesbitt.io/2026/05/24/signing-is-for-the-bad-days.html

#softwaresupplychain #security #sigstore #tuf #intoto

OpenSSF unveils SBOMit - a tool designed to bolster Software Bills of Materials (#SBOMs) with #InToto #attestations.

This development increases transparency & security in the software development process.

To learn more, read #InfoQ: https://bit.ly/48Q2zf1

#DevOps #DevSecOps #Security

🚨HOT OF THE PRESS: A new episode of my newsletter has just been published on Substack!
⛓in-toto and SLSA•🐙Wolfi OS Package Updates•🐳Docker Builds and Multi-platform• ❌🔑Keyless Signing for GitLab•💃SLSA v1.0 Release•🚨CNCF SLSA Assessments!

#slsa #intoto #cncf #docker #dockerbuild #dockermultiplatform #slsa10

https://open.substack.com/pub/developerguy/p/in-toto-and-slsawolfi-os-package?r=1cevp0&utm_campaign=post&utm_medium=email