約11分で読めます
CI/CD のビルド証跡を公開タイムスタンプに固定するには
CI/CD パイプラインは、ビルド成果物・SBOM・ログ・リリースマニフェストをハッシュ化し、それらを 1 つの Merkle ルートにまとめて、単一の Label 309 証明として公開できます。後の監査に向けた、独立した公開タイムアンカーになります。
開発者向け
約11分で読めます
CI/CD パイプラインは、ビルド成果物・SBOM・ログ・リリースマニフェストをハッシュ化し、それらを 1 つの Merkle ルートにまとめて、単一の Label 309 証明として公開できます。後の監査に向けた、独立した公開タイムアンカーになります。
開発者向け
約9分で読めます
Sigstore はソフトウェアの成果物に署名し、その署名イベントを公開ログに記録します。Label 309 は、リリース証跡全体に独立したブロックチェーンの時刻アンカーを付与します。両者は別々の問題を解決し、組み合わせるとうまく機能します。
標準仕様開発者向け