v1.83.14-stable.patch.1

LiteLLM Releases / 5/5/2026

📰 NewsDeveloper Stack & InfrastructureSignals & Early TrendsTools & Practical Usage

共有:

Key Points

LiteLLMのDockerイメージはcosignで署名されており、各リリースで同一の公開鍵（commit 0112e53で導入）が使用されています。
推奨される検証方法は、ピン留めされたコミットハッシュの公開鍵を使って署名を検証することで、署名鍵の真正性を最も強く保証できます。
代替としてリリースタグから公開鍵を取得して検証する方法もありますが、これはリポジトリ側のタグ保護ルールに依存します。
検証の期待される出力は、cosignクレームの検証と、指定した公開鍵に対する署名検証が行われたことです。

Verify Docker Image Signature

All LiteLLM Docker images are signed with cosign. Every release is signed with the same key introduced in commit 0112e53.

Verify using the pinned commit hash (recommended):

A commit hash is cryptographically immutable, so this is the strongest way to ensure you are using the original signing key:

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/0112e53046018d726492c814b3644b7d376029d0/cosign.pub \
  ghcr.io/berriai/litellm:v1.83.14-stable.patch.1

Verify using the release tag (convenience):

Tags are protected in this repository and resolve to the same key. This option is easier to read but relies on tag protection rules:

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/v1.83.14-stable.patch.1/cosign.pub \
  ghcr.io/berriai/litellm:v1.83.14-stable.patch.1

Expected output:

The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key

Full Changelog: v1.83.14-stable...v1.83.14-stable.patch.1