v1.82.3-stable.patch.4

LiteLLM Releases / 4/10/2026

💬 OpinionDeveloper Stack & InfrastructureTools & Practical Usage

共有:

Key Points

LiteLLMのDockerイメージはSigstore/cosignで署名されており、リリースごとに同一の公開鍵（commit 0112e53）が使われます。
署名検証は、公開鍵URLをcommitハッシュにピン留めして`cosign verify`する方法が推奨で、暗号学的に不変なキーに対する検証として最も強力です。
代替として、リリースタグをキーに使って検証する手順もあり、可読性は高い一方でタグ保護ルールへの依存があると説明されています。
`cosign verify`の期待出力として、cosignクレームの検証と指定公開鍵に対する署名検証が行われた旨が示されています。
変更履歴は`v1.82.3-stable.patch.2...v1.82.3-stable.patch.4`の比較リンクで参照できます。

Verify Docker Image Signature

All LiteLLM Docker images are signed with cosign. Every release is signed with the same key introduced in commit 0112e53.

Verify using the pinned commit hash (recommended):

A commit hash is cryptographically immutable, so this is the strongest way to ensure you are using the original signing key:

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/0112e53046018d726492c814b3644b7d376029d0/cosign.pub \
  ghcr.io/berriai/litellm:v1.82.3-stable.patch.4

Verify using the release tag (convenience):

Tags are protected in this repository and resolve to the same key. This option is easier to read but relies on tag protection rules:

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/v1.82.3-stable.patch.4/cosign.pub \
  ghcr.io/berriai/litellm:v1.82.3-stable.patch.4

Expected output:

The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key

Full Changelog: v1.82.3-stable.patch.2...v1.82.3-stable.patch.4