sigstore/sigstore

# sigstore 框架 [](https://bugs.chromium.org/p/oss-fuzz/issues/list?sort=-opened&can=1&q=proj:sigstore) [](https://bestpractices.coreinfrastructure.org/projects/5716) sigstore/sigstore 包含通用的 [Sigstore](https://www.sigstore.dev/) 代码：即基础设施（例如 [Fulcio](https://github.com/sigstore/fulcio) 和 [Rekor](https://github.com/sigstore/rekor)）和 Go 语言客户端（例如 [Cosign](https://github.com/sigstore/cosign) 和 [Gitsign](https://github.com/sigstore/gitsign)）共享的代码。 该库目前提供： * 签名接口（支持 ecdsa、ed25519、rsa、DSSE (in-toto)） * OpenID Connect fulcio 客户端代码 支持以下 KMS 系统： * AWS Key Management Service * Azure Key Vault * HashiCorp Vault * Google Cloud Platform Key Management Service 示例代码请参阅各主代码文件的相关测试代码。 ## 模糊测试 Fuzzing 测试位于 https://github.com/sigstore/sigstore/tree/main/test/fuzz ## 安全 如果您发现任何安全问题，请参阅 sigstore 的 [安全 流程](https://github.com/sigstore/.github/blob/main/SECURITY.md) 对于容器签名，请使用 [cosign](https://github.com/sigstore/cosign)

标签：AWS KMS, Azure Key Vault, Cosign, CVE, DevSecOps, DSSE, ECDSA, Ed25519, EVTX分析, EVTX分析, Fulcio, Fuzzing, Golang, Google Cloud KMS, HashiCorp Vault, in-toto, KMS, OIDC, OpenID Connect, Rekor, RSA, SamuraiWTF, SBOM, Sigstore, Web截图, 上游代理, 代码签名, 公共库, 基础设施, 安全编程, 容器安全, 密码学, 手动系统调用, 数字签名, 日志审计, 硬件无关, 跌倒检测, 软件物料清单