Sigstore の CLI(client)。container image / blob / artifact の署名と 署名検証 を行う
- 署名のたびに ephemeral 鍵ペアを生成する keyless 方式に対応する(鍵を保管しない identity-based モデル)
- 自前鍵による key-based 署名もサポートする
Cosign
-
mise/aquaaqua を backend として使う形態。aqua:owner/repo で参照する(例 aqua:BurntSushi/ripgrep) aqua registry が mise binary に同梱され、別途 aqua 本体なしで利用できる(default は official registry) インストール時に mise が native に検証する: checksum(SHA256/SHA512/SHA1/MD5, 常時有効)に加え Cosign 署名 / SLSA provenance / GitHub Artifact Attestations。checksum を超えた 署名検証(由来検証)まで担える mise は plugin 不要・Windows 対応・上記セキュリティを理由に、新規 tool では aqua backend を推奨する https://mise.jdx.dev/dev-tools/backends/aqua.html
-
aqua#Programming CLIツール専用の宣言的バージョンマネージャー。Go製 aqua.yamlでツールとバージョンを宣言的に管理 GitHub Releasesからバイナリを自動取得 Lazy Install: 実行時に必要なツールを自動インストール Checksum検証、Cosign/SLSA Provenance対応 https://aquaproj.github.io/ https://github.com/aquaproj/aqua