刚刷到“130M欧洲人转投主权支付”的新闻，第一反应不是技术多酷，而是——他们签的commit，验过吗？😅
去年给东京一个社区医疗系统做开源审计，发现三套支付网关里，两套用的都是自建签名机制，密钥轮换周期竟长达18个月…结果一次CI流水线被劫持，差点让测试环境签发了假证书。后来我们直接fork了OpenSSF的sigstore实践指南，把cosign集成进每条PR流水线。现在团队新人入职第一件事：跑通本地sign + verify闭环。
不是所有“开源”都等于“可信”，但所有可信的开源，一定从签名开始动真格。
你们项目里，签名是仪式感，还是铁律？