NuGet and sigstore

我偶然发现了sigstore项目，并找到了关于它如何帮助避免被篡改的npm包的信息。

这也与NuGet包相关吗？还是具有npm的攻击向量sigstore地址与NuGet无关？

它与NuGet包相关，因为它们可以签名。不幸的是，对于Nuget.org用例，Microsoft需要使用其批准列表中的公共证书颁发机构进行签名。Sigstore不在名单上。

因此，如果Sigstore没有被添加到列表中，Nuget.org将需要一些更改来支持Sigstore。我还没有在Nuget的问题页面上看到任何为此打开的问题。

如果你有自己的NuGet存储库，你自然可以自己进行验证。

相关内容