本日(元記事公開当時)、Sigstore コミュニティは、コミュニティが運営する無償の認証局と透過ログサービスの一般向け提供版についてお知らせします。さらに、Sigstore の 2 つの基本プロジェクトである Fulcio と Rekor で、API が安定版となった v1.0 リリースを公開します。Google も、こういったオープンソース コミュニティの節目を祝福しています。🎉
Sigstore は、オープンソース ソフトウェアの署名、検証、保護のための標準です。最近のサイバーセキュリティに関する米国大統領令など、ソフトウェア サプライチェーンのセキュリティに対する業界の注目度が高まる中、ソフトウェアの出所を把握して信頼する機能はこれまでになく重要になっています。Sigstore は、ソフトウェアのデジタル署名の複雑な部分を簡素化、自動化することで、この機能をこれまで以上に使いやすくて信頼性が高いものにします。
Sigstore プロジェクトは、2020 年に Red Hat と Google のオープンソース コラボレーションとして始まりました。そして、ベンダーに依存せずにコミュニティが運営と設計を行うプロジェクトに成長し、Open Source Security Foundation(OpenSSF)の一員にもなりました。この取り組みは、さまざまなパッケージ マネージャーやエコシステムにも広がり続けています。Python や Kubernetes などのオープンソース プロジェクトの新リリースをダウンロードすれば、それが Sigstore で署名されていることがわかります。
Google は Sigstore コミュニティのメンバーとして、積極的な貢献を行っています。アップストリーム コード以外にも、次のようないくつかの形で貢献しています。
私たちは、Sigstore の開発や運営を支える大きなオープンソース コミュニティの一部です。新しい採用者や貢献者は大歓迎です。Sigstore を使ってみたい方は、プロジェクトのドキュメントでソフトウェアの署名と検証のプロセスについてご確認ください。貢献したい方は、Sigstore GitHub 組織に複数の個人リポジトリがあるので、簡単なタスクを示す目印として、「good first issue」ラベルをご利用ください。プロジェクトには Slack コミュニティ(こちらの招待を利用できます)があり、コミュニティ ミーティングも定期的に開催しています。
