Sigstore

Sigstore est une solution open source conçue pour simplifier la signature et la vérification cryptographique des artefacts logiciels (conteneurs, binaires, paquets), afin de sécuriser la chaîne d'approvisionnement logicielle (supply chain). Soutenu par la Linux Foundation, Sigstore permet aux développeurs, équipes DevOps et organisations de signer leurs builds sans gérer de clés privées, grâce à un système de signature "keyless" basé sur l'identité (OIDC) et des registres de transparence (Rekor).

À la différence des outils traditionnels comme GPG ou OpenSSL, Sigstore élimine la complexité de la gestion des clés en utilisant des certificats éphémères délivrés par Fulcio, son autorité de certification dédiée. Chaque signature est horodatée et enregistrée dans un journal public et infalsifiable (Rekor), permettant une vérification transparente et décentralisée. Intégrée nativement aux pipelines CI/CD (GitHub Actions, GitLab, Tekton, etc.), la solution s'adapte aussi bien aux projets open source qu'aux environnements entreprise, avec des cas d'usage variés :

Sigstore est particulièrement plébiscité pour sa simplicité d'intégration et son approche zéro confiance : les artefacts sont vérifiés à chaque étape (build, déploiement, exécution), réduisant les risques de falsification ou d'injection de code malveillant. La plateforme est compatible avec les standards SLSA et in-toto, et s'intègre aux outils existants (Cosign, SBOM, scanners de vulnérabilités) pour une sécurité end-to-end. Des géants comme Google Cloud, JPMorgan ou Red Hat l'utilisent déjà pour sécuriser leurs chaînes logicielles, tandis que des registres comme npm ou Docker Hub supportent nativement ses signatures.

Fonctionnalités clés

• Signature keyless : Utilisation de l'identité OIDC (GitHub, Google, Microsoft) pour signer, sans gestion manuelle de clés.
• Transparence et audit : Journal public Rekor pour vérifier l'origine et l'intégrité des artefacts, avec preuve cryptographique.
• Intégration CI/CD : Plugins prêts à l'emploi pour GitHub Actions, GitLab, Tekton, Jenkins, etc.
• Support multi-format : Conteneurs (OCI), binaires, paquets (npm, PyPI, Debian), SBOM (CycloneDX, SPDX).
• Vérification automatisée : Contrôle d'admission Kubernetes, politiques de déploiement, et validation en temps réel.
• Open source et gratuit : Pas de coût pour les projets open source, avec une communauté active et une gouvernance transparente.
• Compatibilité entreprise : Déploiement privé possible (Fulcio/Rekor auto-hébergés) pour les environnements air-gapped.

Pourquoi adopter Sigstore ?

Sigstore répond à un besoin critique : prouver que le code exécuté est bien celui qui a été construit et approuvé, sans dépendre de processus manuels ou d'infrastructures complexes. En supprimant les friction liées à la gestion des clés et en automatisant la vérification, il permet aux équipes de se concentrer sur le développement tout en renforçant la sécurité. Que ce soit pour sécuriser un projet open source, répondre aux exigences de conformité (NIS2, ISO27001) ou protéger une chaîne logicielle entreprise, Sigstore offre une solution simple, scalable et interopérable. Pour commencer, consultez la documentation officielle ou testez l'intégration avec Cosign.