验证

使用 Sigstore Cosign 验证发布资产和 SBOM。

本仓库使用：

GitHub Releases 进行分发（cargo-dist）
使用 Sigstore Cosign 进行无密钥签名
SBOM 生成（SPDX-JSON）

验证发布资产签名

下载发布资产及其 .sig 和 .crt 文件，然后执行：

cosign verify-blob \
  --certificate <asset>.crt \
  --signature <asset>.sig \
  <asset>

验证 SBOM

cosign verify-blob \
  --certificate sbom.spdx.json.crt \
  --signature sbom.spdx.json.sig \
  sbom.spdx.json

注意事项

Cosign 无密钥验证会检查证书中的签名身份。确保其与本仓库及预期的工作流上下文一致。

链

链标识符、网络模式默认值和 RPC 配置。

CLI 参考

Seashail 所有命令和子命令的命令行界面参考。

目录

验证发布资产签名验证 SBOM 注意事项