Sigstore home page: https://www.sigstore.dev/
Sigstore Github: https://github.com/sigstore 

sigstore 是一个由Linux基金会支持的开源项目，旨在为软件供应链安全提供可信的代码签名与验证机制。它通过结合公钥基础设施（PKI）、透明日志（Transparency Log）和短时效身份验证（如OpenID Connect），实现自动化、低成本且高安全性的软件签名与溯源功能。

sigstore 的核心目标是解决传统代码签名中密钥管理复杂、成本高昂且易受攻击的问题。它引入了一种新颖的签名方式，允许开发者使用临时密钥对代码进行签名，并将签名记录存储在不可篡改的透明日志中，确保签名行为可审计、可追溯。同时，sigstore 支持与GitHub等平台集成，利用OAuth 2.0身份认证实现自动化的身份绑定，从而简化签名流程并提升安全性。

目前，sigstore 已被广泛应用于开源社区，帮助开发者保护容器镜像、二进制文件、Helm charts 等各类软件制品，增强软件发布过程的信任与透明度，是构建安全软件供应链的重要基础设施之一。