再現可能なビルドとコード署名の違い
気になること
Section titled “気になること”コード署名と再現可能なビルドは両立できるのか
Section titled “コード署名と再現可能なビルドは両立できるのか”コード署名を入れると、署名の方法にもよるが、ビルドが再現不可能になる場合がある。
で回避できるかもしれないことが書かれていた。例えばmacOSのコード署名ならcodesign -iオプションを明示的に渡せばいいらしい。
GitHub artifact attestationsのようなコード署名は「配布物が改ざんされていないこと」を保証するが、その成果物が正しく同一のソースコードからビルドされたものかを保証しない。例えばビルドプロセスの途中でバックドアが入っていないことを検証できない。