プラグインの署名

レジストリからインストールされたOpenTofuプロバイダーは暗号的に署名されており、署名はインストール時に検証されます。

OpenTofuは署名されていないバイナリを取得して使用することは**できません**が、署名されていないバイナリを手動でインストールすることは可能です。ただし、プログラムによる認証は実行されないため、細心の注意を払ってください。

環境変数​

OPENTOFU_ENFORCE_GPG_VALIDATION=false​

特定の条件下でGPG検証をスキップする一時的な変更が導入されました。

• レジストリの範囲：この変更は、デフォルトレジストリからのプロバイダーパッケージのみに影響します。
• キーの可用性：プロバイダーのGPGキーがデフォルトレジストリで使用できない場合にのみ、GPG検証がスキップされます。
• 一時的な対策：これは、デフォルトレジストリにすべてプロバイダーのGPGキーが登録されるまでの暫定的な対策です。

これにより運用上の柔軟性が向上しますが、影響を受けるパッケージのセキュリティ保証レベルは低下します。セキュリティを優先するユーザーは、OPENTOFU_ENFORCE_GPG_VALIDATION環境変数をtrueに設定して、すべてプロバイダーのGPG検証を強制する必要があります。

将来の削除：デフォルトレジストリにすべてのGPGキーが登録され次第、この機能を削除し、すべてプロバイダーに対して厳格なGPG検証プロセスに戻す予定です。

OPENTOFU_ENFORCE_GPG_EXPIRATION=false​

レジストリにある多くの古いキーは期限切れであり、厳密には有効ではありません。従来、Terraformはレジストリのキーの有効期限を考慮しておらず、そのフィールドを無視していました。新しい暗号ライブラリに切り替える際に、この機能が利用可能になりました。レガシーの理由から、現在これはデフォルトで無効になっています（falseに設定されています）が、キーを最新の状態に保つためのワークフローがレジストリに構築されると、将来のリリースでtrueにデフォルト設定される可能性があります。