Skip to content

docs(CLAUDE.md): reflect current supply-chain / Renovate state#74

Merged
toshi0806 merged 2 commits into
mainfrom
docs-claude-md-current
Jul 4, 2026
Merged

docs(CLAUDE.md): reflect current supply-chain / Renovate state#74
toshi0806 merged 2 commits into
mainfrom
docs-claude-md-current

Conversation

@toshi0806

Copy link
Copy Markdown
Member

CLAUDE.md をセッション後の現状に更新(docs-only)。詳細はコミット参照。エコシステム CLAUDE.md の「依存管理基盤(Renovate 一本化)」と整合。

🤖 Generated with Claude Code

Reflect the current state after the supply-chain / Renovate work (smkwlab/.github#69 + Renovate 一本化).

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Claude-Session: https://claude.ai/code/session_01JPuooHgsrboSEbfJsNf6iG

@github-actions github-actions Bot left a comment

Copy link
Copy Markdown
Contributor

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

ドキュメント(CLAUDE.md)の更新として、サプライチェーンのセキュリティ強化(SHA256SUMS 生成と cosign keyless 署名)を明確に記述しており、リリースフローの整合性・真正性の検証手順が具体的で読みやすくなっています。全体として良質な docs-only 変更です。以下、軽微な確認点のみコメントします。

Comment thread CLAUDE.md
4. **Rename + upload artifact** — saves as `tdig-linux-x86_64` / `tdig-macos-arm64`.
5. **Publish release** — collects both artifacts, then runs `gh release create <tag> --generate-notes <assets>`. Notes are auto-generated from PRs / commits since the previous tag.
5. **Generate `SHA256SUMS`** — checksum manifest over both binaries (round-tripped with `sha256sum -c` before publishing).
6. **Sign with cosign (keyless)** — cosign v3 (via `sigstore/cosign-installer@v4`, GitHub OIDC, no key to manage) signs `SHA256SUMS` → `SHA256SUMS.cosign.bundle`; an in-workflow `cosign verify-blob` self-check fails the release if signing is broken.

Copy link
Copy Markdown
Contributor

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

ℹ️ [LOW] cosign v3 系のバージョン指定が混在しているように見えます。本文では「cosign v3」と記載する一方でインストーラは sigstore/cosign-installer@v4 を指定しています(cosign 本体と installer のバージョン体系が異なることは理解できますが)。読者が混乱しないよう、cosign 本体のバージョンと installer アクションのバージョンの区別を一言添えると親切です。

Copy link
Copy Markdown
Member Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

混在ではなく正確な関係です: cosign-installer v4(action のメジャー)が cosign 本体 v3 をインストールします。本文も「cosign v3(via sigstore/cosign-installer@v4)」と両方併記し、action 版と CLI 版を取り違えないよう意図的に明示しています。LOW のため据え置き。

Comment thread CLAUDE.md Outdated
### Release integrity & authenticity

- **Integrity**: `SHA256SUMS` (verify with `sha256sum --ignore-missing -c SHA256SUMS`; macOS `shasum -a 256`).
- **Authenticity**: cosign keyless signature bound to this workflow's OIDC identity. **Downstream verification needs cosign v3+** — from `0.4.2` on the bundle is the new Sigstore format that older cosign can't read. See the README "Verifying the download" section for the `cosign verify-blob` command (`--certificate-identity-regexp` + `--certificate-oidc-issuer`).

Copy link
Copy Markdown
Contributor

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

ℹ️ [LOW] 「from 0.4.2 on the bundle is the new Sigstore format」という記述の 0.4.2 が何のバージョン(本プロジェクトのリリースか、cosign か)を指すのか文脈から一見して分かりにくいです。主語を明示すると誤読を防げます。

Copy link
Copy Markdown
Member Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

対応しました。「tdig release 0.4.2 以降」と明記し、tdig のリリース版であることを明確化しました。

@github-actions github-actions Bot left a comment

Copy link
Copy Markdown
Contributor

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

ドキュメントのみの変更で、リリースフロー(SHA256SUMS 生成・cosign 署名・検証手順)を明確に記述しており、内容として整合的で有用です。重大な問題は見当たりませんでした。軽微な確認点のみ記載します。

Comment thread CLAUDE.md
4. **Rename + upload artifact** — saves as `tdig-linux-x86_64` / `tdig-macos-arm64`.
5. **Publish release** — collects both artifacts, then runs `gh release create <tag> --generate-notes <assets>`. Notes are auto-generated from PRs / commits since the previous tag.
5. **Generate `SHA256SUMS`** — checksum manifest over both binaries (round-tripped with `sha256sum -c` before publishing).
6. **Sign with cosign (keyless)** — cosign v3 (via `sigstore/cosign-installer@v4`, GitHub OIDC, no key to manage) signs `SHA256SUMS` → `SHA256SUMS.cosign.bundle`; an in-workflow `cosign verify-blob` self-check fails the release if signing is broken.

Copy link
Copy Markdown
Contributor

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

ℹ️ [LOW] cosign のバージョン記述に若干の不整合の可能性があります。「cosign v3(via sigstore/cosign-installer@v4)」と記載されていますが、installer のバージョン(v4)と cosign 本体のバージョン(v3)が別物である点は読者が混乱しやすいので、そのまま意図通りか確認してください。もし意図通りであれば問題ありません。

@toshi0806 toshi0806 merged commit 83ccf26 into main Jul 4, 2026
7 checks passed
@toshi0806 toshi0806 deleted the docs-claude-md-current branch July 4, 2026 11:48
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant