La firma vincolata all’identità è un modello di firma che collega un artefatto software, un file o un’azione a un’identità verificabile di una persona o di un sistema. Invece di dimostrare solo che qualcosa è stato firmato, dimostra anche chi lo ha firmato, oppure quale workload attendibile lo ha prodotto. Questo viene comunemente implementato con certificati, gestione delle chiavi e sistemi di attestazione consapevoli dell’identità.
Nella sicurezza informatica, la firma vincolata all’identità aiuta i difensori a tracciare la provenienza del codice e a ridurre il rischio della supply chain. Rende più difficile per gli aggressori introdurre build manomesse, aggiornamenti contraffatti o automazione non autorizzata, perché la firma può essere verificata rispetto a un’identità e a criteri noti. In ambienti reali, supporta pipeline CI/CD affidabili, commit firmati, approvazioni delle release e verifica degli artefatti. Non garantisce che il codice sia sicuro, ma rende molto più difficile falsificare la provenienza, la custodia e la responsabilità dell’artefatto.