sigstore/rekor

[](https://api.securityscorecards.dev/projects/github.com/sigstore/rekor)

# Rekor Rekór - 希腊语意为“记录” Rekor 的目标是提供针对软件项目供应链中生成的元数据的不可篡改的账本。 Rekor 允许软件维护者和构建系统将已签名的元数据记录到不可变的记录中。 其他方随后可以查询上述元数据，以便针对对象的生命周期就信任和不可否认性做出明智的决策。欲了解更多详情，请访问 [sigstore 网站](https://sigstore.dev)。 Rekor 项目提供了一个基于 restful API 的验证服务器和一个用于存储的透明日志。 我们提供了一个 CLI 应用程序，用于创建和验证条目、查询透明日志以获取包含证明、 透明日志的完整性验证，或通过公钥或构件检索条目。 Rekor 履行了 sigstore 软件签名基础设施中的签名透明度角色。然而，Rekor 可以独立运行，并且设计为 可扩展以适应不同的 manifest schema 和 PKI 工具。 [官方文档](https://docs.sigstore.dev/rekor/overview)。 ## Rekor v1 的当前状态 Rekor v1 处于维护模式。 我们正在积极开发新版本的 Rekor，旨在易于维护且运行成本更低。 基于 Certificate Transparency 生态系统的积极发展，Rekor v2 将由 [tile-based log](https://transparency.dev/articles/tile-based-logs/) 支持，并使用现代化版本的 Trillian， [Trillian-Tessera](https://github.com/transparency-dev/trillian-tessera)。 请在 [rekor-tiles](https://github.com/sigstore/rekor-tiles/) 仓库关注其进度，并在 [proposal](https://docs.google.com/document/d/1Mi9OhzrucIyt-UCLk_FxO2_xSQZW9ow9U3Lv0ZB_PpM/edit?resourcekey=0-4rPbZPyCS7QDj26Hk0UyvA&tab=t.0#heading=h.bjitqo6lwsmn) 和 [设计文档](https://docs.google.com/document/d/1qZ-lkpbQkBzV45rtemWYmT6ReqCwjTt5TbMDFLdaPyM/edit?resourcekey=0-bMAyN9EKPDvB0H3edYi_Cw&tab=t.0#heading=h.xzptrog8pyxf) 中了解更多关于 Rekor v2 的信息。 随着 V2 版本发布的临近，我们计划将 rekor-tiles 代码库合并到此存储库中。 ## 公共实例 Rekor 随 1.0.0 版本正式发布，并遵循 [semver rules](https://semver.org/) 以确保 API 稳定性。 这意味着生产工作负载可以依赖 Rekor 公共实例，该实例由 24/7 值班轮换提供支持，并为以下 API 端点提供 99.5% 的可用性 SLO： * `/api/v1/log` * `/api/v1/log/publicKey` * `/api/v1/log/proof` * `/api/v1/log/entries` * `/api/v1/log/entries/retrieve` 有关 Rekor 公共实例的正常运行时间数据，请参阅 [https://status.sigstore.dev](https://status.sigstore.dev)。 关于公共实例的更多详情可在 [docs.sigstore.dev](https://docs.sigstore.dev/rekor/public-instance) 找到。 上传到公共实例的证明大小限制为 [100KB](https://github.com/sigstore/rekor/blob/18c81d9f4def67c72f630c5406e26d5e568bc83b/cmd/rekor-server/app/root.go#L104)。如果您需要上传更大的文件，请运行您自己的 Rekor 实例。您可以在 [installation](https://docs.sigstore.dev/rekor/overview#usage-and-installation) 文档中找到相关说明。 ### 安装 有关如何安装 rekor CLI 以及设置/运行 rekor 服务器的详情，请参阅 [installation](https://docs.sigstore.dev/rekor/overview#usage-and-installation) 页面 ### 用法 有关将所有支持类型的签名上传到 rekor 的示例，请参阅 [类型文档](types.md)。 ## 可扩展性 ### 自定义 schema / manifest (rekor type) Rekor 允许自定义 manifest（将其称为类型），[类型自定义在此处概述](https://github.com/sigstore/rekor/tree/main/pkg/types)。 ### API 如果您有兴趣与 Rekor 集成，我们有一个 [OpenAPI swagger editor](https://sigstore.dev/swagger/) ## 安全 如果您发现任何安全问题，请参考 sigstore 的 [security process](https://github.com/sigstore/.github/blob/main/SECURITY.md) ## 贡献 我们欢迎任何人的贡献，并且特别希望能听到 Rekor 用户的声音。 ## 更多文档 除了此 README 文件外，此文件夹还包含其他文档： - **oid-info.md**。Rekor OID 值。 - **types.md**。关于如何在不同的可插拔类型中签名和上传数据的信息。

标签：DevSecOps, EVTX分析, EVTX分析, Go语言, JSONLines, Merkle Tree, Rekor, RESTful API, Sigstore, Trillian, 上游代理, 不可篡改账本, 人工智能安全, 合规性, 完整性验证, 幻觉检测, 提示词优化, 日志审计, 溯源, 程序破解, 签名存证, 证书透明度, 跌倒检测, 软件供应链安全, 软件物料清单, 远程方法调用, 透明度日志, 防篡改, 零信任