Sigstore ve Cosign 2026: Container Image Signing Supply Chain Güvenliği

Sigstore 2025 yıl sonu transparency log raporu (Rekor) 1.4 milyar imzayı geçti; bu rakamın %62’si kurumsal Cosign deployment’larından geliyor, Sysdig 2025 Cloud Native Security Report’una göre imzalı container imajı kullanan kurumlarda supply chain ihlali %71 daha düşük raporlandı. Konuyla ilişkili olarak Container Image Optimization 2026: Distroless, Wolfi, Chainguard rehberimiz detaylı incelemeyi içerir.

Sigstore ve Cosign 2026: Tedarik Zinciri Güvenliği Bağlamı

Tedarik zinciri saldırıları 2024-2025 döneminde %147 arttı (Sonatype State of the Software Supply Chain 2025). XZ Utils backdoor (CVE-2024-3094) sonrası kurumların “imzasız binary çalıştırmama” politikası neredeyse standart oldu. Sigstore CNCF Graduated 2024’te tamamlandı, 2026’ya production-ready bir keyless signing standardı olarak girdi. Cosign 2.4 (Ekim 2025), Rekor v2 transparency log (Şubat 2026 GA), Fulcio short-lived certificate authority ve Policy Controller (eski adı Cosign Gatekeeper) bileşenleri ile tam ekosistem oluşturuyor. CNCF Annual Survey 2025’te 96 bin yanıtın %58’i container imza zorunlu compliance gereksinimi raporladı (2023’te %23). Chainguard, GitHub, AWS Public ECR, GCR ve quay.io artık default imzalı imaj sunuyor. Konuyla ilişkili olarak in-toto Attestation 2026: Build Provenance ve Compliance Audit Pattern rehberimiz detaylı incelemeyi içerir. Konuyla ilişkili olarak Asset-Based Orchestration 2026: Dagster 1.9'un Production Yetenekle… rehberimiz detaylı incelemeyi içerir.

Sigstore’un kurumsal değeri sadece imza değil, “kim imzaladı + ne zaman + hangi CI run’ında” sorularına cryptographic kanıt sunmasıdır. OIDC + Fulcio short-lived cert pattern’i sayesinde uzun ömürlü private key saklama yükü ortadan kalkar. SLSA Framework Level 3’ün build provenance gereksinimini, in-toto attestation + Cosign sign-blob ile karşılamak 2026 standardı haline geldi. SLSA spec v1.0 ve Sigstore resmi sayfası referans dokümantasyonlardır.

Mimari: Fulcio, Rekor, Cosign, Policy Controller

Sigstore mimarisi 4 ana bileşen üzerine kurulu. Cosign client-side imza/verify aracı, Fulcio kısa ömürlü X.509 sertifikası üreten CA, Rekor immutable transparency log, Policy Controller ise admission-time policy enforcement katmanıdır. OIDC token ile başlayan akış şu sırada işler: GitHub Actions / GitLab CI / Buildkite OIDC token Fulcio’ya gider, Fulcio 10 dakika geçerli kod imza sertifikası döner, Cosign imzayı imaj registry’ye OCI artifact olarak push eder, Rekor’a hash + signature kaydedilir, doğrulama sırasında Policy Controller Rekor’dan inclusion proof + Fulcio’dan cert verifikasyonu yapar.

Keyless Signing vs Key-Based: Karar Matrisi

Cosign iki imza modunu destekler: keyless (OIDC + Fulcio) ve key-based (cosign generate-key-pair + KMS). Kurumsal kararı belirleyen 5 faktör vardır:

• Air-gapped ortam: İnternet erişimi yoksa keyless çalışmaz; HSM + key-based zorunlu.
• OIDC IdP olgunluğu: Kurumda Okta/Azure AD/Auth0 olgun ise keyless tercih edilir; Fulcio bu IdP’leri trust eder.
• Compliance gereksinimi: FIPS 140-3 sertifikalı modül zorunluysa AWS KMS + key-based pattern + Cosign FIPS build kullanılır.
• Key rotation operasyonu: Keyless’ta sertifika 10 dakika ömürlü olduğu için rotation derdi yoktur; key-based’de KMS rotation policy ister.
• Multi-tenant CI: Bir GitHub org’da 200+ repo varsa keyless OIDC per-repo identity ile granular policy sağlar; key-based shared key risklidir.

İlgili konu: Policy as Code ve admission controller stratejisi

Implementation Pattern: GitHub Actions + Cosign + Kyverno

Production reference pattern, GitHub Actions OIDC token → Cosign keyless sign → Kyverno verifyImages admission policy zincirinden oluşur. Build aşamasında cosign sign --yes çağrısı yapılır, Fulcio’dan OIDC tabanlı kısa-ömürlü cert alınır, Rekor’a log entry yazılır. Admission tarafında Kyverno ClusterPolicy verifyImages kuralı imaj çekildiğinde signature + Rekor inclusion proof + Fulcio cert chain kontrol eder. Eşleşmeyen imaj admit edilmez.

Bir ödeme şirketi müşterimizde 540 servislik portföyde keyless Cosign rollout 9 hafta sürdü. Sonuçlar: imza coverage %0 → %100, Rekor’a yazılan günlük entry sayısı 14.700, Kyverno admission deny oranı pre-prod’da %3.1 (eşik tutturulamadığında otomatik blok), production’da %0.04. SOC 2 Type II denetiminde “kriptografik build attestation” kontrolü tek seferde tam puanla geçildi. Implementation maliyeti: 1 DevSecOps mühendisi tam zamanlı + 0.5 platform ekip backing. Konuyla ilişkili olarak FIPS 140-3 2026: Kriptografik Modül Validation Kurumsal Implementation rehberimiz detaylı incelemeyi içerir.

Operasyon, İzleme, Compliance

Production’da Cosign rollout sonrası 4 ana metriği izlemek gerekir: imza coverage oranı, Rekor inclusion proof verification latency, Fulcio cert issuance latency, admission deny rate. Aşağıdaki tablo 2026 baseline’larını özetler.

Yüksek hacimli kurumlarda public Sigstore servislerinin rate-limit’i yetmeyebilir; private Fulcio + private Rekor self-host pattern’i gerekir. Policy Controller dökümantasyonu ve Sigstore docs bu setup için referansdır.

Sektörel Use Case: Bankacılık, Telekom, Kamu

Türkiye’de bir özel bankada PCI DSS 4.0 ve BDDK siber güvenlik denetimi için 280 mikroservislik portföyde Cosign + Kyverno rollout Q3 2025’te tamamlandı. Sonuç: tedarik zinciri kontrol setinde “tam uyum”, denetçi raporunda “sektör benchmark üzeri” yorumu. Bir telekom operatöründe EU NIS2 Directive uyumu için 1.200 imaj base’i Chainguard’a, build pipeline’ı keyless Cosign’a taşındı; ICT supply chain risk assessment’ta “low risk” tier’a çıkıldı. Kamu tarafında Estonya e-Government platformu Sigstore Public Fulcio kullanmaktan vazgeçip self-host Fulcio + HSM mimarisine geçti, böylece sovereignty + air-gap gereksinimleri karşılandı (Sigstore Community PARTICIPATING_ORGS dokümante edilmiş).

İlgili konu: Container image optimization ile Cosign senkronizasyonu

Kurumsal Sigstore Dönüşümünde Karşılaşılan Tipik Sorunlar

Danışmanlık projelerinde gözlemlenen tipik darboğazlar:

• Air-gapped data center’da Sigstore Public servisi reachable olmadığı için keyless rollout’u key-based’e geri dönüş zorunluluğu doğuyor; self-host Fulcio için Kubernetes + Trillian + PostgreSQL HA setup planlanmamış.
• Kyverno verifyImages policy’si failurePolicy: Fail ile production’a açılıp ImagePullBackOff cascade’i tetikliyor; pre-prod audit-mode (Warn) ile %0.1 deny eşiğine indirilmeden geçilmemeli.
• Cosign 1.x’ten 2.x’e migration sırasında attestation predicate format değişikliği gözden kaçırılıyor; in-toto v0.1 → v1.0 dönüşümü için scripted re-attestation gerekiyor.
• Third-party vendor imajlarının (Datadog agent, Elastic agent, vendor DB operator) Sigstore imzası olmadığı için policy exception listesi 80-100 entry’ye şişiyor; vendor enforcement süreci kurulmamış.
• Rekor public limit aşıldığında CI jobs random fail oluyor; OTel trace ile hangi step’in rate-limit yediğini ölçmeden sürekli “neden fail oluyor” loop’una giriliyor.
• OIDC trust policy’de GitHub Actions workflow_ref claim’i regex’i çok geniş yazıldığı için başka repo’nun da imza atabilmesi riski oluşuyor; least-privilege attestation policy yazılmamış.

Sonuç

Sigstore + Cosign 2026’da artık opsiyonel “supply chain bonus” değil, regülasyon (NIS2, DORA, EU AI Act, SLSA) gereksinimlerinin teknik karşılığıdır. Keyless Cosign + Fulcio + Rekor üçlüsü kurumsal CI/CD pipeline’larında 9-12 haftalık disiplinli bir rollout ile %99+ imza coverage seviyesine ulaşır. Pratik plan: önce dahili imajlarda keyless OIDC pattern’i kurun, ikinci aşamada Kyverno verifyImages’ı Warn mode’da çalıştırın, üçüncü aşamada vendor exception listesini sıkılaştırarak Enforce mode’a geçin. Air-gap senaryoları için private Fulcio + HSM yatırımı 2026’da kaçınılmaz. SOC 2, ISO 27001, PCI DSS 4.0 ve sektörel denetimlerde “kriptografik build attestation” kontrolü artık checkbox olmaktan çıkıp evidence’lı kanıt zincirine dönüştü; Sigstore bu zincirin standartlaşmış halkasıdır. Roadmap’i bu üç kademede çizen kurumlar 2026 sonunda denetim odasında yarım gün kazanır.

Sıkça Sorulan Sorular