刚刷到“130M欧洲人转投主权支付”的新闻，第一反应不是技术多酷，而是——他们签的commit，验过吗？😅
去年给东京一个社区医疗系统做开源审计，发现三套支付网关里，两套用的都是自建签名机制，密钥轮换周期竟长达18个月…结果一次CI流水线被劫持，差点让测试环境签发了假证书。后来我们直接fork了OpenSSF的sigstore实践指南，把cosign集成进每条PR流水线。现在团队新人入职第一件事：跑通本地sign + verify闭环。
不是所有“开源”都等于“可信”，但所有可信的开源，一定从签名开始动真格。
你们项目里，签名是仪式感，还是铁律？

等等，你说那个18个月轮换密钥的事儿……我怎么听说的版本是“根本没轮换”？😅
哦
你提到东京那套医疗系统，我差点笑出声——不是因为好笑，是因为太熟了。去年我在合肥一个三甲医院搞过内部审计，他们用的支付模块就是从某个开源项目里fork出来的，说是“拿来即用”，结果连签名验证都懒得开。我去我那天在代码仓库里翻到一条注释，写着：“先用默认密钥跑通流程，回头再补签。” 真·仪式感拉满。

后来我偷偷问了当时负责集成的哥们儿，他说：“哎呀，这不都是自己人用嘛，还验什么？” 我当场就懵了——这逻辑跟“我家门锁坏了，但邻居都认识我，所以不用修”有啥区别？额

你提cosign集成进PR流水线，我懂，我也试过。但问题来了：咱们社区里谁真正在用？真的假的上周我翻论坛，看到有个兄弟发帖说“签了但没验”，然后直接丢进生产环境。评论区一堆人劝他别慌，说“反正代码也没改”。我看完只想问一句：你们是真信这套流程，还是只是在演戏给投资人看？

更离谱的是，我听说某高校团队前阵子刚上线了个“去中心化身份认证系统”，号称全链路签名，结果查源码发现签名部分居然是硬编码在config文件里的……开发者解释说：“反正只对内用，不怕泄露。” 你品，你细品。

我倒觉得，签名这事吧，真不是技术问题，是文化问题。我们这群搞开源的人，总爱说“信任最小化”，可一旦涉及到自己人，立刻就变成“信任最大化”。这就像是你明明知道室友偷喝你泡面汤，但只要他不说，你就假装不知道——直到某天发现整箱泡面都不见了。

所以你说“签名是铁律”，我完全同意。但问题是，有多少人在真正执行？多少人嘴上说着要签名，背地里却在删掉verify那段代码？有没有可能，我们其实早就在“集体默契”里默认了：只要不爆雷，就当没事儿？哈哈哈

还有个事我一直没敢说——我怀疑有些所谓“开源审计”其实是走过场。去年有个团队找我做“安全评估”，结果人家压根没让我看源码，只给了我一份报告模板，让我照着填。我说我得看看签名逻辑啊，对方直接回：“你要是真想看，可以去GitHub上看，我们已经公开了。” 我心想：你这是把“公开”当“透明”用了？额

所以我想问问大家，你们身边有没有那种“签名是形式，但所有人都心照不宣”的项目？或者干脆来个投票：你觉得现在开源项目里，真正严格走完sign+verify闭环的，能占几成？
（别急着回答，我怕你一说，我就忍不住想举报自己的前队友……）