Sigstore/cosign项目增强：支持通过校验和初始化TUF根信任文件

在Sigstore/cosign项目中，初始化TUF（The Update Framework）信任根配置是一个关键的安全操作。当前版本要求用户必须提供完整的root.json文件作为初始信任根，这在私有Sigstore实例部署场景下存在一些使用痛点。

现有方案的局限性

目前用户执行cosign initialize命令时，主要通过两种方式提供初始root.json文件：

1. 通过侧通道获取文件（如预先打包到CI镜像中，或通过基础设施即代码工具分发）
2. 直接从TUF仓库URL引用文件（存在安全隐患）

第一种方式虽然更安全，但需要额外的工作量来分发整个文件；第二种方式虽然方便，但安全性不足，因为无法验证下载文件的完整性。

新特性设计方案

为解决上述问题，项目将引入新的--root-checksum参数，该参数与现有的--root参数互斥。新特性的核心思想是允许用户通过提供root.json文件的校验和来验证初始信任根，而不需要分发完整的文件。

实现要点包括：

• 校验和参数格式为<校验算法>:<校验值>
• 当使用URL方式获取root.json时，必须提供校验和参数
• 系统将下载文件后计算其校验和并与提供的值比对
• 默认使用SHA-512算法，确保足够的安全性

安全升级路径

为平稳过渡，项目将采用分阶段实施策略：

1. 第一阶段：当用户通过URL方式使用--root参数时，发出警告提示未来版本将强制要求校验和
2. 第二阶段：在后续主要版本中，将校验和验证设为强制要求

这种渐进式升级方式既保证了现有用户的使用连续性，又能逐步提高安全性标准。

技术意义

这一改进为私有Sigstore部署带来了多重好处：

1. 简化CI/CD集成：校验和可以方便地通过环境变量传递，无需处理完整文件
2. 增强安全性：消除了直接信任远程文件的潜在风险
3. 提升用户体验：单条命令即可完成安全初始化，降低使用门槛

对于安全敏感的操作系统初始化过程，这种基于校验和的信任机制是一种经过验证的最佳实践，在保证安全性的同时兼顾了易用性。

实施状态

该功能已经完成代码实现并通过审查，将在下一个主要版本中作为强制要求推出。开发团队建议现有用户提前适配，使用新的校验和验证方式来初始化他们的私有Sigstore实例。