amaanx86/oci-prometheus-sd-proxy-tuf-on-ci

# oci-prometheus-sd-proxy TUF-on-CI 签名仓库 [](https://github.com/amaanx86/oci-prometheus-sd-proxy/pkgs/container/oci-prometheus-sd-proxy) [](https://www.bestpractices.dev/projects/12388) [](https://slsa.dev) [](https://github.com/amaanx86/oci-prometheus-sd-proxy/releases) 本仓库包含 [TUF-on-CI](https://github.com/theupdateframework/tuf-on-ci) 签名基础设施，用于 [oci-prometheus-sd-proxy](https://github.com/amaanx86/oci-prometheus-sd-proxy)。 - **主仓库**: https://github.com/amaanx86/oci-prometheus-sd-proxy - **文档**: https://oci-prometheus-sd-proxy.readthedocs.io/ - **发布文档**: https://oci-prometheus-sd-proxy.readthedocs.io/en/latest/releasing.html ## 概述 TUF-on-CI 使用 GitHub Actions 自动化 [The Update Framework (TUF)](https://theupdateframework.io/) 的元数据管理。当发布新版本时，维护者会通过 Sigstore 使用其 GitHub 身份签名目标元数据——不会存储或共享任何私钥材料。 ## 设置 ### 1. 克隆本仓库 ``` git clone https://github.com/amaanx86/oci-prometheus-sd-proxy-tuf-on-ci.git cd oci-prometheus-sd-proxy-tuf-on-ci ``` ### 2. 创建并激活 Python 虚拟环境 ``` python3 -m venv .venv-tuf source .venv-tuf/bin/activate ``` ### 3. 安装 tuf-on-ci ``` pip3 install tuf-on-ci-sign ``` ### 4. 配置签名工具 仓库根目录下的 `.tuf-on-ci-sign.ini` 文件用于配置本地签名环境： ``` [settings] user-name = @amaanx86 pull-remote = origin push-remote = origin pykcs11lib = /opt/homebrew/lib/libykcs11.dylib ``` 如果是新维护者，请将 `user-name` 更新为您的 GitHub 用户名（带 `@` 前缀）。仅在使用硬件令牌（例如 YubiKey）时才需要 `pykcs11lib` 路径；如果仅使用 Sigstore 浏览器流程进行签名，可以移除该路径。

标签：CI, GitHub Actions, OCI 镜像, Prometheus 服务发现代理, Sigstore, SLSA, SLSA 3, The Update Framework, TUF, 不可篡改, 供应链完整性, 元数据管理, 发布验证, 可信发布, 可验证构建, 安全更新, 密钥不落地, 开源框架, 持续集成, 更新分发, 目标签名, 签名验证, 自动化签名, 自动笔记, 请求拦截, 软件供应链安全, 远程方法调用, 逆向工具, 透明性