sigstoreプロジェクトから学ぶコンテナイメージ署名とサプライチェーンセキュリティ Tweet

Proposal: (不採択)

ソフトウェアサプライチェーンに対する攻撃が現実の脅威となる中で、コンテナイメージの真正性・完全性を保証し、信頼性のあるビルド・配布を実現するための手段として「sigstore」プロジェクトが注目されています。本セッションでは、sigstoreが提供するcosign・fulcio・rekorといった各コンポーネントの仕組みや役割に焦点を当てながら、イメージ署名の流れを技術的に解説します。

特にcosignを用いたコンテナイメージへの署名・検証に加え、SBOM(Software Bill of Materials)や脆弱性スキャン結果などのメタデータを署名付きでイメージに添付する仕組みを詳しく紹介します。これらの機能がどのようにソフトウェアサプライチェーン全体のトレーサビリティと検証性を高めるかを具体例とともに解説し、KubernetesやCI/CDパイプラインとの連携方法についても言及します。

「sigstoreを使うことで"何が"実現できて、"どこまで"を保証できるのか？」といった実践的な観点を交えながら、クラウドネイティブな環境におけるセキュリティ強化へのアプローチを紹介します。