v1.82.3-stable.patch.4

LiteLLM Releases / 2026/4/10

💬 オピニオンDeveloper Stack & InfrastructureTools & Practical Usage

原文を読む →

共有:

要点

LiteLLMのDockerイメージはSigstore/cosignで署名されており、リリースごとに同一の公開鍵（commit 0112e53）が使われます。
署名検証は、公開鍵URLをcommitハッシュにピン留めして`cosign verify`する方法が推奨で、暗号学的に不変なキーに対する検証として最も強力です。
代替として、リリースタグをキーに使って検証する手順もあり、可読性は高い一方でタグ保護ルールへの依存があると説明されています。
`cosign verify`の期待出力として、cosignクレームの検証と指定公開鍵に対する署名検証が行われた旨が示されています。
変更履歴は`v1.82.3-stable.patch.2...v1.82.3-stable.patch.4`の比較リンクで参照できます。

Dockerイメージの署名を検証

すべての LiteLLM Docker イメージは、cosign で署名されています。すべてのリリースは、commit 0112e53で導入された同じ鍵で署名されています。

固定したコミットハッシュで検証（推奨）:

コミットハッシュは暗号学的に不変なので、元の署名鍵を使用していることを確実にするための最も強力な方法です:

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/0112e53046018d726492c814b3644b7d376029d0/cosign.pub \
  ghcr.io/berriai/litellm:v1.82.3-stable.patch.4

リリースタグで検証（便利）:

このリポジトリではタグが保護されており、同じ鍵に解決されます。このオプションは読みやすいですが、タグ保護のルールに依存します:

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/v1.82.3-stable.patch.4/cosign.pub \
  ghcr.io/berriai/litellm:v1.82.3-stable.patch.4

期待される出力:

The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key

完全な変更履歴: v1.82.3-stable.patch.2...v1.82.3-stable.patch.4