Açık kaynak yazılım geliştiricileri genellikle kod imzalama sertifikası maliyetini karşılayacak bütçeye sahip değildir. Ancak 2026 itibarıyla birçok kuruluş, açık kaynak projelere ücretsiz veya çok uygun fiyatlı kod imzalama çözümleri sunmaktadır.
Açık Kaynak Projeler İçin Ücretsiz Seçenekler
1. SignPath Foundation
SignPath.io, açık kaynak projeler için ücretsiz kod imzalama hizmeti sunan bir platformdur.
- Maliyet: Ücretsiz (açık kaynak projeler için)
- Desteklenen formatlar: EXE, DLL, MSI, NuGet, VSIX, PowerShell
- Sertifika türü: OV Code Signing (SignPath Foundation adına)
- CI/CD entegrasyonu: GitHub Actions, Azure DevOps
- Başvuru: GitHub projeniz ile başvuru yapılır, topluluk katkısı ve proje kalitesi değerlendirilir
2. Sigstore (Keyless Signing)
Sigstore, Linux Foundation tarafından desteklenen açık kaynak bir imzalama altyapısıdır.
- Maliyet: Tamamen ücretsiz
- Araçlar: Cosign (container), Gitsign (git commit), Sigstore-python
- Yöntem: Keyless — OIDC kimlik doğrulaması ile geçici sertifika oluşturulur
- Transparency log: Tüm imzalar Rekor log'unda kaydedilir
- Kısıtlama: Windows EXE Authenticode imzalama desteklenmez; container ve paket imzalama odaklıdır
3. Certum Open Source Code Signing
Certum, onaylı açık kaynak projeler için indirimli kod imzalama sertifikası sunar.
- Maliyet: Standart fiyattan %50-70 indirimli
- Sertifika türü: OV Code Signing (kendi adınıza)
- Avantaj: Gerçek bir Authenticode sertifikası — Windows SmartScreen için geçerli
- SimplySign: Cloud HSM ile ek token maliyeti yok
Seçenek Karşılaştırma Tablosu
| Kriter | SignPath | Sigstore | Certum OS |
|---|---|---|---|
| Fiyat | Ücretsiz | Ücretsiz | İndirimli |
| Windows EXE | Evet ✓ | Hayır ✗ | Evet ✓ |
| Container | Hayır ✗ | Evet ✓ | Hayır ✗ |
| Kendi Adınıza | Hayır (SignPath adına) | OIDC kimlik | Evet ✓ |
| SmartScreen | Zamanla | Uygulanamaz | Zamanla |
| CI/CD | Mükemmel | Mükemmel | İyi |
Hangi Seçenek Size Uygun?
- Windows EXE/DLL dağıtıyorsanız: SignPath veya Certum Open Source
- Container image dağıtıyorsanız: Sigstore/Cosign (ücretsiz, kolay)
- npm/PyPI paket yayınlıyorsanız: Sigstore veya platformun kendi imzalama sistemi
- Kendi şirket adınızla imza istiyorsanız: Certum Open Source (indirimli)
Başvuru İpuçları
- Aktif proje: Son 6 ay içinde commit geçmişi olmalı
- Açık lisans: MIT, Apache 2.0, GPL gibi onaylı açık kaynak lisansı
- README ve dokümantasyon: Proje amacı ve kullanımı açıkça belgelenmiş olmalı
- Topluluk katkısı: Star, fork ve contributor sayısı değerlendirmeyi olumlu etkiler
Sık Sorulan Sorular
Ücretsiz kod imzalama sertifikası güvenilir mi?
Evet, SignPath ve Certum'un verdiği sertifikalar aynı güvenlik standardına sahiptir. SignPath'de imza "SignPath Foundation" adına yapılır, Certum'da ise kendi adınıza sertifika alırsınız.
Açık kaynak projem küçük, başvuru kabul edilir mi?
SignPath belirli kriterler arar (aktif geliştirme, topluluk, kalite). Küçük projeler için Certum Open Source indirimi veya Sigstore keyless signing daha uygun olabilir.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz