#Security Sigstore の CLI（client）。container image / blob / artifact の署名と 署名検証 を行う 署名のたびに ephemeral 鍵ペアを生成する keyless 方式に対応する（鍵を保管しない identity-based モデル） 自前鍵による key-based 署名もサポートする https://docs.sigstore.dev/cosign/signing/overview/

#Security/Cryptography メッセージ送信者によるデジタル署名と、受信者による署名検証によって メッセージの改竄がされていないこと（完全性） メッセージが本当に秘密鍵を保持する送信者からのものであること（否認防止） の2つを保証する

#Security/Cryptography 公開鍵と秘密鍵の鍵ペアによって実現する暗号方式。 以下の2パターンによって暗号化、復号が行われる 送信者：公開鍵でメッセージを暗号化、受信者：秘密鍵で復号 可逆的：機密性、完全性、否認防止 送信者：秘密鍵でメッセージを暗号化、受信者：公開鍵で復号 デジタル署名/署名検証 不可逆的：完全性、否認防止

aqua を backend として使う形態。aqua:owner/repo で参照する（例 aqua:BurntSushi/ripgrep） aqua registry が mise binary に同梱され、別途 aqua 本体なしで利用できる（default は official registry） インストール時に mise が native に検証する: checksum（SHA256/SHA512/SHA1/MD5, 常時有効）に加え Cosign 署名 / SLSA provenance / GitHub Artifact Attestations。checksum を超えた 署名検証（由来検証）まで担える mise は plugin 不要・Windows 対応・上記セキュリティを理由に、新規 tool では aqua backend を推奨する https://mise.jdx.dev/dev-tools/backends/aqua.html

#Security release file / container image / binary / SBOM 等の software artifact を署名・検証し、ソフトウェアサプライチェーンの安全性向上を目的とする OSS プロジェクト 鍵ではなく OIDC identity（email / service account / CI workflow 等）に署名を紐付ける identity-based / keyless 方式が核。長命な署名鍵なしに 署名検証 を成立させ、サプライチェーン攻撃 の由来検証軸を担う 署名は ephemeral key 生成 → Fulcio（CA）が identity に紐付く短命証明書を発行 → 署名イベントを Rekor（append-only な透明性ログ）に記録し、検証はログ経由で行う OpenSSF（Linux Foundation）が主導 https://docs.sigstore.dev/about/overview/

#Security ソフトウェアの依存・ビルド・配布といった信頼された経路を侵害し、正規の配布物を通じて下流の利用者へ到達する攻撃 標的に直接侵入せず「信頼の連鎖」を悪用する点が特徴で、上流を 1 つ侵害するだけで多数の下流へ伝播する 攻撃者は正規の配布物に紛れ込むため、利用者側の通常の検証では気づきにくい 防御は信頼の検証可能化が軸: 構成要素の固定（pinning）、最小権限、由来の署名検証、依存構成の可視化（SBOM）