
Panduan Sigstore + Cosign 2026: Tanda Tangan Artefak Tanpa Kunci Statis untuk Supply Chain yang Aman
31/3/2026
Keyword: sigstore, cosign, supply chain security, tanda tangan artefak, keyless signing, oidc, rekor transparency log, fulcio ca, devsecops, verifikasi image, container signing, cicd security, software provenance, sbom, keamanan pipeline, artifact integrity, audit trail
Ancaman supply chain software makin sering terjadi: artefak build bisa disisipi, registry bisa dimanipulasi, dan tanda tangan manual sering terlupakan. Sigstore hadir sebagai infrastruktur open source untuk penandatanganan dan verifikasi artefak secara otomatis dengan pendekatan keyless berbasis identitas OIDC. Dokumentasi resmi Sigstore menjelaskan komponen utamanya seperti Cosign (signing), Fulcio (CA), dan Rekor (transparency log) untuk membangun rantai kepercayaan yang dapat diaudit (Sigstore Overview, Sigstore Tooling).
Kenapa tim SaaS perlu Sigstore?
- Keyless signing mengurangi risiko kebocoran private key karena identitas CI/CD menjadi sumber kepercayaan.
- Audit trail transparan lewat Rekor memungkinkan bukti bahwa artefak ditandatangani dan dapat diverifikasi publik (Rekor Transparency Log).
- Integrasi CI/CD cepat karena Cosign bisa menandatangani image/container secara langsung di pipeline.
Arsitektur Sigstore dalam satu gambar mental
Ketika pipeline CI/CD menandatangani artefak:
- CI/CD menggunakan token OIDC untuk mendapatkan sertifikat singkat dari Fulcio.
- Cosign menandatangani artefak menggunakan sertifikat tersebut.
- Signature dan metadata dicatat ke Rekor sebagai transparency log.
Dengan pola ini, tim keamanan dapat melakukan verifikasi tanpa harus mengelola private key jangka panjang, sambil tetap punya jejak audit yang jelas.
Langkah implementasi praktis di pipeline
1) Tentukan artefak yang wajib ditandatangani
Fokus pada image container dan package rilis yang masuk ke produksi. Pastikan registry dan release pipeline siap untuk menyimpan signature.
2) Integrasikan Cosign di CI/CD
- Tambahkan step signing setelah build selesai.
- Simpan signature bersama image di registry.
- Catat hasil signing ke log pipeline untuk audit.
3) Aktifkan verifikasi di tahap deploy
Gate deployment hanya jika signature valid. Untuk Kubernetes, verifikasi bisa dilakukan sebelum image di-pull sehingga artefak tak tervalidasi otomatis ditolak.
Checklist keamanan yang sering terlewat
- Pastikan identitas OIDC yang digunakan oleh pipeline terbatas pada workflow tertentu.
- Gunakan policy yang menolak artefak tanpa signature.
- Audit log Rekor secara berkala untuk mendeteksi signature yang tidak sesuai pola.
- Dokumentasikan siapa yang berwenang menandatangani artefak kritikal.
Kesimpulan
Sigstore membantu tim DevSecOps memperkuat integritas artefak tanpa kompleksitas manajemen kunci. Dengan Cosign, Fulcio, dan Rekor, Anda bisa membangun supply chain yang lebih aman, terverifikasi, dan siap audit—tanpa mengorbankan kecepatan delivery.
Referensi
Sumber referensi awal: https://docs.sigstore.dev/about/overview/