Rekor：可验证签名存储库指南

Rekor：可验证签名存储库指南

rekorSoftware Supply Chain Transparency Log项目地址:https://gitcode.com/gh_mirrors/re/rekor

项目介绍

Rekor，由Sigstore社区维护，是一个开放源码的不可变日志服务，旨在提供一个透明且安全的方式验证软件包和代码签名。它允许开发者和安全团队验证签名是否被篡改，确保供应链的安全性。通过创建一个全局的日志系统，Rekor帮助建立了一种信任机制，使任何人都可以校验签名的真实性，而无需直接信任签名者。

项目快速启动

要快速启动并运行Rekor，首先需要安装其客户端rekor-cli。下面是基于Linux/Mac OS的安装步骤：

安装rekor-cli

curl -sL https://github.com/sigstore/rekor/releases/download/v0.5.2/rekor_0.5.2_Linux_x86_64.tar.gz | tar xz
sudo mv rekor /usr/local/bin/

对于Windows用户，可以从Release页面下载对应的.exe文件。

使用示例

创建一个新的签名并将其提交到Rekor：

1. 假设你有一个需要签名的文件example.txt。
2. 首先，你需要一个签名工具（如cosign）来生成签名。
3. 然后使用rekor-cli将签名信息上传：

cosign sign --key your_private_key.key example.txt
rekor-cli submit --signature $(cosign sign --key your_private_key.key example.txt | jq '.signature' | tr -d '"') --public-key $(cosign key export --format pkcs8-public) example.txt

请注意替换相应的私钥路径以及处理好签名和公钥的具体操作。

应用案例和最佳实践

Rekor在软件供应链安全性中扮演着核心角色，常见应用场景包括：

• 软件签名验证：确保下载的软件包未被篡改，通过比对Rekor日志中的签名记录。
• 供应链透明度：开发者可以发布他们的制品及其签名至Rekor，增加制品的信任度。
• 审计和法规遵从：企业可以通过Rekor记录，证明其软件组件来源的连续性和完整性。

最佳实践建议定期审查日志以确认签名未被污染，以及在自动化部署管道中集成Rekor验证步骤，确保每一环节的安全性。

典型生态项目

Rekor作为Sigstore计划的一部分，紧密集成于一系列开源项目中：

1. Cosign：用于签名和验证容器镜像及其他二进制文件的工具，与Rekor结合使用以增强签名的可信度。
2. ** Fulcio**：提供TLS证书的签名服务，常与Rekor联合，用作证明签名者的身份。
3. Tekton CD：持续交付平台，可通过集成Rekor进行签名验证，加强CI/CD流程的安全性。

通过这些生态项目的支持，Rekor不仅简化了签名和验证过程，还推动了一个更健壮、更安全的开源软件生态系统的发展。

---

此文档提供了快速入门Rekor的基本指引，深入学习和高级使用场景建议参考官方文档和社区资源。

rekorSoftware Supply Chain Transparency Log项目地址:https://gitcode.com/gh_mirrors/re/rekor