home.social

#sigstore — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #sigstore, aggregated by home.social.

  1. «Fix typo»: как в PHP закоммитили бэкдор и почему composer install — это акт доверия

    Каждый composer install — это акт доверия: вы запускаете на CI и в проде код, который собрал и опубликовал кто‑то другой, а проверяете обычно лишь хеш в composer.lock. Но хеш отвечает на вопрос «тот же ли это байт, что вчера», а не «кто и из чего его собрал». Реальные инциденты показывают цену этого доверия: в 2021-м в исходники PHP закоммитили бэкдор от имени Расмуса Лердорфа; в xz вредонос жил в release‑архиве, которого не было в git; у популярного GitHub Action переписали теги и слили секреты из тысяч пайплайнов. Между кодом на ревью и артефактом в вашем vendor/ — длинная цепочка, и атаковать можно любое звено. В статье сначала разбор: как устроены эти атаки и почему GPG, хеши и composer audit закрывают цепочку лишь частично. Затем ответ индустрии — Sigstore: подпись без управления ключами. И главное — практика на PHP: подписываем релиз в GitHub Actions без единого секрета, проверяем эталонным gh, из CLI и прямо из кода с типизированным SLSA‑провенансом, мониторим журнал Rekor. С рабочим кодом и честной моделью угроз: что подпись ловит, а что нет. Разобрать цепочку поставок ПО

    habr.com/ru/articles/1048056/

    #supply_chain_security #Sigstore #Rekor #Fulcio #SLSA #Composer #Packagist #аттестация_артефактов #github_actions #php

  2. «Fix typo»: как в PHP закоммитили бэкдор и почему composer install — это акт доверия

    Каждый composer install — это акт доверия: вы запускаете на CI и в проде код, который собрал и опубликовал кто‑то другой, а проверяете обычно лишь хеш в composer.lock. Но хеш отвечает на вопрос «тот же ли это байт, что вчера», а не «кто и из чего его собрал». Реальные инциденты показывают цену этого доверия: в 2021-м в исходники PHP закоммитили бэкдор от имени Расмуса Лердорфа; в xz вредонос жил в release‑архиве, которого не было в git; у популярного GitHub Action переписали теги и слили секреты из тысяч пайплайнов. Между кодом на ревью и артефактом в вашем vendor/ — длинная цепочка, и атаковать можно любое звено. В статье сначала разбор: как устроены эти атаки и почему GPG, хеши и composer audit закрывают цепочку лишь частично. Затем ответ индустрии — Sigstore: подпись без управления ключами. И главное — практика на PHP: подписываем релиз в GitHub Actions без единого секрета, проверяем эталонным gh, из CLI и прямо из кода с типизированным SLSA‑провенансом, мониторим журнал Rekor. С рабочим кодом и честной моделью угроз: что подпись ловит, а что нет. Разобрать цепочку поставок ПО

    habr.com/ru/articles/1048056/

    #supply_chain_security #Sigstore #Rekor #Fulcio #SLSA #Composer #Packagist #аттестация_артефактов #github_actions #php

  3. «Fix typo»: как в PHP закоммитили бэкдор и почему composer install — это акт доверия

    Каждый composer install — это акт доверия: вы запускаете на CI и в проде код, который собрал и опубликовал кто‑то другой, а проверяете обычно лишь хеш в composer.lock. Но хеш отвечает на вопрос «тот же ли это байт, что вчера», а не «кто и из чего его собрал». Реальные инциденты показывают цену этого доверия: в 2021-м в исходники PHP закоммитили бэкдор от имени Расмуса Лердорфа; в xz вредонос жил в release‑архиве, которого не было в git; у популярного GitHub Action переписали теги и слили секреты из тысяч пайплайнов. Между кодом на ревью и артефактом в вашем vendor/ — длинная цепочка, и атаковать можно любое звено. В статье сначала разбор: как устроены эти атаки и почему GPG, хеши и composer audit закрывают цепочку лишь частично. Затем ответ индустрии — Sigstore: подпись без управления ключами. И главное — практика на PHP: подписываем релиз в GitHub Actions без единого секрета, проверяем эталонным gh, из CLI и прямо из кода с типизированным SLSA‑провенансом, мониторим журнал Rekor. С рабочим кодом и честной моделью угроз: что подпись ловит, а что нет. Разобрать цепочку поставок ПО

    habr.com/ru/articles/1048056/

    #supply_chain_security #Sigstore #Rekor #Fulcio #SLSA #Composer #Packagist #аттестация_артефактов #github_actions #php

  4. [Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок

    Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной экосистеме. Поэтому подход проекта к безопасности CI/CD интересен не только мейнтейнерам других опенсорс-проектов: те же паттерны полезны любой команде, которая собирает прод-артефакты в GitHub Actions. Команда VK Cloud перевела статью с конкретными YAML-конфигами, дизайн-решениями и честным списком того, что у Cilium пока не сделано.

    habr.com/ru/companies/vk/artic

    #vk_cloud #github_actions #supply_chain #devsecops #cilium #kubernetes #sigstore #slsa #sbom #безопасность

  5. [Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок

    Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной экосистеме. Поэтому подход проекта к безопасности CI/CD интересен не только мейнтейнерам других опенсорс-проектов: те же паттерны полезны любой команде, которая собирает прод-артефакты в GitHub Actions. Команда VK Cloud перевела статью с конкретными YAML-конфигами, дизайн-решениями и честным списком того, что у Cilium пока не сделано.

    habr.com/ru/companies/vk/artic

    #vk_cloud #github_actions #supply_chain #devsecops #cilium #kubernetes #sigstore #slsa #sbom #безопасность

  6. [Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок

    Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной экосистеме. Поэтому подход проекта к безопасности CI/CD интересен не только мейнтейнерам других опенсорс-проектов: те же паттерны полезны любой команде, которая собирает прод-артефакты в GitHub Actions. Команда VK Cloud перевела статью с конкретными YAML-конфигами, дизайн-решениями и честным списком того, что у Cilium пока не сделано.

    habr.com/ru/companies/vk/artic

    #vk_cloud #github_actions #supply_chain #devsecops #cilium #kubernetes #sigstore #slsa #sbom #безопасность

  7. #SigStore / #PyPI attestations: #PGP is hard! We must invent a new signing scheme that's so much easier on users.

    The tools, after I've spent hours *integrating* them into #Gentoo, and getting them working for everything before:
    * Verifying google_auth-2.46.0.tar.gz ...
    Provenance signed by a Google Cloud account, but no service account provided; use '--gcp-service-account'

    Yeah, I'm sure that's *so much simpler* than PGP.

    #security

  8. #SigStore / #PyPI attestations: #PGP is hard! We must invent a new signing scheme that's so much easier on users.

    The tools, after I've spent hours *integrating* them into #Gentoo, and getting them working for everything before:
    * Verifying google_auth-2.46.0.tar.gz ...
    Provenance signed by a Google Cloud account, but no service account provided; use '--gcp-service-account'

    Yeah, I'm sure that's *so much simpler* than PGP.

    #security

  9. #SigStore / #PyPI attestations: #PGP is hard! We must invent a new signing scheme that's so much easier on users.

    The tools, after I've spent hours *integrating* them into #Gentoo, and getting them working for everything before:
    * Verifying google_auth-2.46.0.tar.gz ...
    Provenance signed by a Google Cloud account, but no service account provided; use '--gcp-service-account'

    Yeah, I'm sure that's *so much simpler* than PGP.

    #security

  10. #SigStore / #PyPI attestations: #PGP is hard! We must invent a new signing scheme that's so much easier on users.

    The tools, after I've spent hours *integrating* them into #Gentoo, and getting them working for everything before:
    * Verifying google_auth-2.46.0.tar.gz ...
    Provenance signed by a Google Cloud account, but no service account provided; use '--gcp-service-account'

    Yeah, I'm sure that's *so much simpler* than PGP.

    #security

  11. #SigStore / #PyPI attestations: #PGP is hard! We must invent a new signing scheme that's so much easier on users.

    The tools, after I've spent hours *integrating* them into #Gentoo, and getting them working for everything before:
    * Verifying google_auth-2.46.0.tar.gz ...
    Provenance signed by a Google Cloud account, but no service account provided; use '--gcp-service-account'

    Yeah, I'm sure that's *so much simpler* than PGP.

    #security

  12. For the last couple of weeks, I've been deep diving into container supply chain security.

    I built a full GitHub Actions demo pipeline:

    • Vulnerability scanning
    • SBOM generation
    • Keyless signing + attestations
    • SLSA build provenance

    The highlight: zero long-lived secrets. GitHub Actions uses OIDC to obtain a short-lived certificate, signs the image (and publishes attestations), and records everything in a public transparency log. No keys to rotate or leak.

    The post also covers hardened base images (distroless and Docker's new Hardened Images) and how to enforce signatures on the consumer side with Kubernetes admission policies.

    Blog + companion repo to fork: lnkd.in/gtdNYWW8

    #SupplyChainSecurity #SBOM #Sigstore #GitHubActions #DevSecOps #ZeroTrust

  13. For the last couple of weeks, I've been deep diving into container supply chain security.

    I built a full GitHub Actions demo pipeline:

    • Vulnerability scanning
    • SBOM generation
    • Keyless signing + attestations
    • SLSA build provenance

    The highlight: zero long-lived secrets. GitHub Actions uses OIDC to obtain a short-lived certificate, signs the image (and publishes attestations), and records everything in a public transparency log. No keys to rotate or leak.

    The post also covers hardened base images (distroless and Docker's new Hardened Images) and how to enforce signatures on the consumer side with Kubernetes admission policies.

    Blog + companion repo to fork: lnkd.in/gtdNYWW8

    #SupplyChainSecurity #SBOM #Sigstore #GitHubActions #DevSecOps #ZeroTrust

  14. For the last couple of weeks, I've been deep diving into container supply chain security.

    I built a full GitHub Actions demo pipeline:

    • Vulnerability scanning

    • SBOM generation

    • Keyless signing + attestations

    • SLSA build provenance

    The stack: Trivy, Syft, Cosign, and Sigstore.

    Zero long-lived secrets. GitHub Actions uses OIDC to obtain a short-lived certificate, signs the image (and publishes attestations), and records everything in a public transparency log. No keys to rotate or leak.

    The post also covers hardened base images (distroless and Docker's new Hardened Images) and how to enforce signatures on the consumer side with Kubernetes admission policies.

    Blog + companion repo to fork: lnkd.in/gtdNYWW8

    #SupplyChainSecurity #SBOM #Sigstore #GitHubActions #DevSecOps #ZeroTrust

  15. For the last couple of weeks, I've been deep diving into container supply chain security.

    I built a full GitHub Actions demo pipeline:

    • Vulnerability scanning

    • SBOM generation

    • Keyless signing + attestations

    • SLSA build provenance

    The stack: Trivy, Syft, Cosign, and Sigstore.

    Zero long-lived secrets. GitHub Actions uses OIDC to obtain a short-lived certificate, signs the image (and publishes attestations), and records everything in a public transparency log. No keys to rotate or leak.

    The post also covers hardened base images (distroless and Docker's new Hardened Images) and how to enforce signatures on the consumer side with Kubernetes admission policies.

    Blog + companion repo to fork: lnkd.in/gtdNYWW8

    #SupplyChainSecurity #SBOM #Sigstore #GitHubActions #DevSecOps #ZeroTrust

  16. For the last couple of weeks, I've been deep diving into container supply chain security.

    I built a full GitHub Actions demo pipeline:

    • Vulnerability scanning

    • SBOM generation

    • Keyless signing + attestations

    • SLSA build provenance

    The stack: Trivy, Syft, Cosign, and Sigstore.

    Zero long-lived secrets. GitHub Actions uses OIDC to obtain a short-lived certificate, signs the image (and publishes attestations), and records everything in a public transparency log. No keys to rotate or leak.

    The post also covers hardened base images (distroless and Docker's new Hardened Images) and how to enforce signatures on the consumer side with Kubernetes admission policies.

    Blog + companion repo to fork: lnkd.in/gtdNYWW8

    #SupplyChainSecurity #SBOM #Sigstore #GitHubActions #DevSecOps #ZeroTrust

  17. OpenSSF-funded improvements to Sigstore’s rekor-monitor are making transparency logs easier to monitor for malicious package releases and identity misuse.

    Great work by @trailofbits, with support from the sigstore maintainer community including Hayden Blauzvern and @mihaimaruseac.

    🔗 openssf.org/blog/2025/12/19/ca

    #OpenSourceSecurity #sigstore #SupplyChainSecurity

  18. OpenSSF-funded improvements to Sigstore’s rekor-monitor are making transparency logs easier to monitor for malicious package releases and identity misuse.

    Great work by @trailofbits, with support from the sigstore maintainer community including Hayden Blauzvern and @mihaimaruseac.

    🔗 openssf.org/blog/2025/12/19/ca

    #OpenSourceSecurity #sigstore #SupplyChainSecurity

  19. OpenSSF-funded improvements to Sigstore’s rekor-monitor are making transparency logs easier to monitor for malicious package releases and identity misuse.

    Great work by @trailofbits, with support from the sigstore maintainer community including Hayden Blauzvern and @mihaimaruseac.

    🔗 openssf.org/blog/2025/12/19/ca

    #OpenSourceSecurity #sigstore #SupplyChainSecurity

  20. OpenSSF-funded improvements to Sigstore’s rekor-monitor are making transparency logs easier to monitor for malicious package releases and identity misuse.

    Great work by @trailofbits, with support from the sigstore maintainer community including Hayden Blauzvern and @mihaimaruseac.

    🔗 openssf.org/blog/2025/12/19/ca

    #OpenSourceSecurity #sigstore #SupplyChainSecurity

  21. OpenSSF-funded improvements to Sigstore’s rekor-monitor are making transparency logs easier to monitor for malicious package releases and identity misuse.

    Great work by @trailofbits, with support from the sigstore maintainer community including Hayden Blauzvern and @mihaimaruseac.

    🔗 openssf.org/blog/2025/12/19/ca

    #OpenSourceSecurity #sigstore #SupplyChainSecurity

  22. 💡 OpenSSF Project Highlight: Sigstore - A Wax Seal of Security for the Digital Era

    ❓ Why this matters: the Sigstore project is building a modern, transparent trust layer for open source.

    Watch this interview and learn more about #Sigstore: youtu.be/m5eTw4x33kU?si=JFY3C8

  23. 💡 OpenSSF Project Highlight: Sigstore - A Wax Seal of Security for the Digital Era

    ❓ Why this matters: the Sigstore project is building a modern, transparent trust layer for open source.

    Watch this interview and learn more about #Sigstore: youtu.be/m5eTw4x33kU?si=JFY3C8

  24. 💡 OpenSSF Project Highlight: Sigstore - A Wax Seal of Security for the Digital Era

    ❓ Why this matters: the Sigstore project is building a modern, transparent trust layer for open source.

    Watch this interview and learn more about #Sigstore: youtu.be/m5eTw4x33kU?si=JFY3C8

  25. 💡 OpenSSF Project Highlight: Sigstore - A Wax Seal of Security for the Digital Era

    ❓ Why this matters: the Sigstore project is building a modern, transparent trust layer for open source.

    Watch this interview and learn more about #Sigstore: youtu.be/m5eTw4x33kU?si=JFY3C8

  26. 💡 OpenSSF Project Highlight: Sigstore - A Wax Seal of Security for the Digital Era

    ❓ Why this matters: the Sigstore project is building a modern, transparent trust layer for open source.

    Watch this interview and learn more about #Sigstore: youtu.be/m5eTw4x33kU?si=JFY3C8

  27. 🎉 The new #Sigstore Rekor transparency log public dataset is now available on BigQuery!

    This dataset makes it easier for researchers to analyze software signing trends & understand how artifacts are signed across the open source ecosystem.

    🔗Read: openssf.org/blog/2025/10/15/an

  28. 🎉 The new #Sigstore Rekor transparency log public dataset is now available on BigQuery!

    This dataset makes it easier for researchers to analyze software signing trends & understand how artifacts are signed across the open source ecosystem.

    🔗Read: openssf.org/blog/2025/10/15/an

  29. 🎉 The new #Sigstore Rekor transparency log public dataset is now available on BigQuery!

    This dataset makes it easier for researchers to analyze software signing trends & understand how artifacts are signed across the open source ecosystem.

    🔗Read: openssf.org/blog/2025/10/15/an

  30. 🎉 The new #Sigstore Rekor transparency log public dataset is now available on BigQuery!

    This dataset makes it easier for researchers to analyze software signing trends & understand how artifacts are signed across the open source ecosystem.

    🔗Read: openssf.org/blog/2025/10/15/an

  31. 🎉 The new #Sigstore Rekor transparency log public dataset is now available on BigQuery!

    This dataset makes it easier for researchers to analyze software signing trends & understand how artifacts are signed across the open source ecosystem.

    🔗Read: openssf.org/blog/2025/10/15/an

  32. #gentoo #python #rust

    I wanted to never touch
    #uv in my life

    But...

    Lo and behold, out of nowhere,
    #sigstore wants sigstore-models now
    And
    sigstore-models wants uv-build
    And
    uv-build wants uv

    God damn

  33. I can imagine how mandatory code #signing could be a remedy here. For example, using #Sigstore, that requires authenticating by an identity provider (e.g. GitHub), makes such attacks much harder as the attacker must compromising both #NPM accounts and GitHub.

  34. I can imagine how mandatory code #signing could be a remedy here. For example, using #Sigstore, that requires authenticating by an identity provider (e.g. GitHub), makes such attacks much harder as the attacker must compromising both #NPM accounts and GitHub.

  35. I can imagine how mandatory code #signing could be a remedy here. For example, using #Sigstore, that requires authenticating by an identity provider (e.g. GitHub), makes such attacks much harder as the attacker must compromising both #NPM accounts and GitHub.

  36. I can imagine how mandatory code #signing could be a remedy here. For example, using #Sigstore, that requires authenticating by an identity provider (e.g. GitHub), makes such attacks much harder as the attacker must compromising both #NPM accounts and GitHub.

  37. Przygotowałem wstępnie weryfikację autentyczności plików z #PyPI dla #Gentoo.

    Wiecie, ten nowy wynalazek, który chroni przed atakami podmieniającymi pliki na PyPI, i upewnia się, że macie do czynienia z oryginalnymi plikami z GitHuba. No bo, jak powszechnie wiadomo, repozytoria na GitHubie i tamtejsze systemy CD są mało prawdopodobnym celem ataków. No i absolutnie nie trzeba się martwić tym, że klucze, repozytoria i te systemy CD są w rękach Microsoftu.

    github.com/gentoo/gentoo/pull/

    #bezpieczeństwo #GitHub #Microsoft #Python #SigStore

  38. Przygotowałem wstępnie weryfikację autentyczności plików z #PyPI dla #Gentoo.

    Wiecie, ten nowy wynalazek, który chroni przed atakami podmieniającymi pliki na PyPI, i upewnia się, że macie do czynienia z oryginalnymi plikami z GitHuba. No bo, jak powszechnie wiadomo, repozytoria na GitHubie i tamtejsze systemy CD są mało prawdopodobnym celem ataków. No i absolutnie nie trzeba się martwić tym, że klucze, repozytoria i te systemy CD są w rękach Microsoftu.

    github.com/gentoo/gentoo/pull/

    #bezpieczeństwo #GitHub #Microsoft #Python #SigStore

  39. Przygotowałem wstępnie weryfikację autentyczności plików z #PyPI dla #Gentoo.

    Wiecie, ten nowy wynalazek, który chroni przed atakami podmieniającymi pliki na PyPI, i upewnia się, że macie do czynienia z oryginalnymi plikami z GitHuba. No bo, jak powszechnie wiadomo, repozytoria na GitHubie i tamtejsze systemy CD są mało prawdopodobnym celem ataków. No i absolutnie nie trzeba się martwić tym, że klucze, repozytoria i te systemy CD są w rękach Microsoftu.

    github.com/gentoo/gentoo/pull/

    #bezpieczeństwo #GitHub #Microsoft #Python #SigStore

  40. Przygotowałem wstępnie weryfikację autentyczności plików z #PyPI dla #Gentoo.

    Wiecie, ten nowy wynalazek, który chroni przed atakami podmieniającymi pliki na PyPI, i upewnia się, że macie do czynienia z oryginalnymi plikami z GitHuba. No bo, jak powszechnie wiadomo, repozytoria na GitHubie i tamtejsze systemy CD są mało prawdopodobnym celem ataków. No i absolutnie nie trzeba się martwić tym, że klucze, repozytoria i te systemy CD są w rękach Microsoftu.

    github.com/gentoo/gentoo/pull/

    #bezpieczeństwo #GitHub #Microsoft #Python #SigStore

  41. Przygotowałem wstępnie weryfikację autentyczności plików z #PyPI dla #Gentoo.

    Wiecie, ten nowy wynalazek, który chroni przed atakami podmieniającymi pliki na PyPI, i upewnia się, że macie do czynienia z oryginalnymi plikami z GitHuba. No bo, jak powszechnie wiadomo, repozytoria na GitHubie i tamtejsze systemy CD są mało prawdopodobnym celem ataków. No i absolutnie nie trzeba się martwić tym, że klucze, repozytoria i te systemy CD są w rękach Microsoftu.

    github.com/gentoo/gentoo/pull/

    #bezpieczeństwo #GitHub #Microsoft #Python #SigStore

  42. I've drafted support for verification of #PyPI provenance for #Gentoo.

    You know, the new fancy thing that protects against supply chain attacks on PyPI, and verifies that you're using genuine #GitHub artifacts. Because, you know, GitHub repositories and deployment pipelines are an unlikely attack vector. And you definitely don't need to worry about #Microsoft owning the keys, the repositories and the pipelines at all.

    github.com/gentoo/gentoo/pull/

    #security #Python #SigStore

  43. I've drafted support for verification of #PyPI provenance for #Gentoo.

    You know, the new fancy thing that protects against supply chain attacks on PyPI, and verifies that you're using genuine #GitHub artifacts. Because, you know, GitHub repositories and deployment pipelines are an unlikely attack vector. And you definitely don't need to worry about #Microsoft owning the keys, the repositories and the pipelines at all.

    github.com/gentoo/gentoo/pull/

    #security #Python #SigStore

  44. I've drafted support for verification of #PyPI provenance for #Gentoo.

    You know, the new fancy thing that protects against supply chain attacks on PyPI, and verifies that you're using genuine #GitHub artifacts. Because, you know, GitHub repositories and deployment pipelines are an unlikely attack vector. And you definitely don't need to worry about #Microsoft owning the keys, the repositories and the pipelines at all.

    github.com/gentoo/gentoo/pull/

    #security #Python #SigStore

  45. I've drafted support for verification of #PyPI provenance for #Gentoo.

    You know, the new fancy thing that protects against supply chain attacks on PyPI, and verifies that you're using genuine #GitHub artifacts. Because, you know, GitHub repositories and deployment pipelines are an unlikely attack vector. And you definitely don't need to worry about #Microsoft owning the keys, the repositories and the pipelines at all.

    github.com/gentoo/gentoo/pull/

    #security #Python #SigStore

  46. I've drafted support for verification of #PyPI provenance for #Gentoo.

    You know, the new fancy thing that protects against supply chain attacks on PyPI, and verifies that you're using genuine #GitHub artifacts. Because, you know, GitHub repositories and deployment pipelines are an unlikely attack vector. And you definitely don't need to worry about #Microsoft owning the keys, the repositories and the pipelines at all.

    github.com/gentoo/gentoo/pull/

    #security #Python #SigStore

  47. 🚨 The AI wave is here, and with it comes a new cybersecurity battleground.

    Discover how open source tools like #Sigstore, and #SLSA-based frameworks can help close these gaps and build more resilient AI systems.

    Read the blog and learn how to get involved: openssf.org/blog/2025/08/12/se

  48. 🚨 The AI wave is here, and with it comes a new cybersecurity battleground.

    Discover how open source tools like #Sigstore, and #SLSA-based frameworks can help close these gaps and build more resilient AI systems.

    Read the blog and learn how to get involved: openssf.org/blog/2025/08/12/se

  49. 🚨 The AI wave is here, and with it comes a new cybersecurity battleground.

    Discover how open source tools like #Sigstore, and #SLSA-based frameworks can help close these gaps and build more resilient AI systems.

    Read the blog and learn how to get involved: openssf.org/blog/2025/08/12/se

  50. 🚨 The AI wave is here, and with it comes a new cybersecurity battleground.

    Discover how open source tools like #Sigstore, and #SLSA-based frameworks can help close these gaps and build more resilient AI systems.

    Read the blog and learn how to get involved: openssf.org/blog/2025/08/12/se