Q
[질문]Chainguard의 자동 리빌드 시스템이 CVE 패치를 감지하는 기준(CVE DB, upstream release 등)은 무엇이며, 실무에서 false positive 또는 false negative를 방지하기 위한 보증 체계는 어떻게 구성되어 있나요?”
A
Upstream에서 변경된 사항을 Chainguard Factory에서 자동 감지합니다.
TETRIOUS
2025-11-27 14:10
A
Sigstore 프로젝트의 핵심 구성요소 중 하나로 컨테이너 이미지나, SBOM, Provenance 등 소프트웨어 아티팩트에 디지털 서명을 부여하는 도구입니다. 쉬게 말해서, “이 이미지는 신뢰할 수 있는 주체가 만든 진짜다”라는 것을 증명하는 “디지털 서명 도구” 입니다. Chainguard는 Cosign을 표준 서명 체계로 채택하고 있습니다. 그래서 고객은 다음을 보장 받음. 무결성: 이미지가 빌드 이후 변조되니 않았음을 증명 출처: Chainguard Factory에서 생성된 정품임을 증명 추적성: 이미지가 어떤 소스와 빌드 환경에서 만들어졌는지 확인 가능.
TETRIOUS
2025-11-27 14:12