v1.83.2-nightly

LiteLLM Releases / 2026/4/9

📰 ニュースDeveloper Stack & InfrastructureTools & Practical Usage

原文を読む →

共有:

要点

LiteLLMのDockerイメージはcosignを使って署名されており、v1.83.2-nightlyでも同一の公開鍵（commit 0112e53で導入）で検証できると説明されています。
署名検証は、タグではなく「ピン留めされたコミットハッシュ」を公開鍵として指定する方法が最も強力（鍵の不変性により真正性を高められる）とされています。
代替として、リリースタグを使った検証方法も用意されており、こちらはリポジトリ側のタグ保護ルールに依存するため推奨度が下がります。
期待される出力として、cosign claimの検証と指定公開鍵に対する署名検証が行われる旨が示されています。
変更点として、セキュリティ強化に関するブログ（2026年4月のポスト）の追加が挙げられています。

Docker イメージ署名の確認

すべての LiteLLM Docker イメージは cosign で署名されています。すべてのリリースは、commit 0112e53で導入された同じキーで署名されます。

固定された commit ハッシュを使用して確認（推奨）:

commit ハッシュは暗号学的に不変なので、元の署名キーを使用していることを保証する最も強力な方法です：

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/0112e53046018d726492c814b3644b7d376029d0/cosign.pub \
  ghcr.io/berriai/litellm:v1.83.2-nightly

リリースタグを使用して確認（便利）:

このリポジトリではタグが保護されており、同じキーに解決されます。このオプションは読みやすいですが、タグ保護ルールに依存します：

cosign verify \
  --key https://raw.githubusercontent.com/BerriAI/litellm/v1.83.2-nightly/cosign.pub \
  ghcr.io/berriai/litellm:v1.83.2-nightly

期待される出力:

The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key