Cosign
Was ist Cosign?
CosignOpen-Source-CLI des Sigstore-Projekts zum Signieren, Verifizieren und Attestieren von OCI-Artefakten und anderer Software, wahlweise mit Schlüssel oder keyless.
Cosign ist das Anwenderwerkzeug des Sigstore-Stacks. Es signiert Container-Images, OCI-Artefakte, Blobs, SBOMs und in-toto-Attestationen und legt Signaturen neben dem Artefakt oder in einer OCI-Registry ab. Im keyless-Modus nutzt es Fulcio, um ein kurzlebiges Zertifikat zu einer OIDC-Identität zu erhalten, und schreibt die Signatur in das Transparenz-Log Rekor; im Keyed-Modus nutzt es klassische Schlüssel, Hardware-Tokens oder KMS-gestützte Schlüssel. Verifikationsrichtlinien können vertrauenswürdige Identitäten (z. B. ein bestimmter GitHub-Actions-Workflow), Reusable Workflows oder Attestation-Prädikate verlangen. Cosign ist Standard-Signaturwerkzeug in vielen CI-Pipelines und Kubernetes-Admission-Systemen (Kyverno, Connaisseur, OPA Gatekeeper) zur Durchsetzung der Lieferkettenintegrität.
● Beispiele
- 01
cosign sign --identity-token $OIDC_TOKEN ghcr.io/org/app:v1.2
- 02
Kyverno-Policy, die Produktions-Images darauf prüft, ob sie von einem bestimmten GitHub-Actions-Workflow signiert sind.
● Häufige Fragen
Was ist Cosign?
Open-Source-CLI des Sigstore-Projekts zum Signieren, Verifizieren und Attestieren von OCI-Artefakten und anderer Software, wahlweise mit Schlüssel oder keyless. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Cosign?
Open-Source-CLI des Sigstore-Projekts zum Signieren, Verifizieren und Attestieren von OCI-Artefakten und anderer Software, wahlweise mit Schlüssel oder keyless.
Wie funktioniert Cosign?
Cosign ist das Anwenderwerkzeug des Sigstore-Stacks. Es signiert Container-Images, OCI-Artefakte, Blobs, SBOMs und in-toto-Attestationen und legt Signaturen neben dem Artefakt oder in einer OCI-Registry ab. Im keyless-Modus nutzt es Fulcio, um ein kurzlebiges Zertifikat zu einer OIDC-Identität zu erhalten, und schreibt die Signatur in das Transparenz-Log Rekor; im Keyed-Modus nutzt es klassische Schlüssel, Hardware-Tokens oder KMS-gestützte Schlüssel. Verifikationsrichtlinien können vertrauenswürdige Identitäten (z. B. ein bestimmter GitHub-Actions-Workflow), Reusable Workflows oder Attestation-Prädikate verlangen. Cosign ist Standard-Signaturwerkzeug in vielen CI-Pipelines und Kubernetes-Admission-Systemen (Kyverno, Connaisseur, OPA Gatekeeper) zur Durchsetzung der Lieferkettenintegrität.
Wie schützt man sich gegen Cosign?
Schutzmaßnahmen gegen Cosign kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Cosign?
Übliche alternative Bezeichnungen: cosign.
● Verwandte Begriffe
- appsec№ 1044
Sigstore
Open-Source-Projekt der Linux Foundation, das Signatur, Verifikation und Schutz von Software-Artefakten mittels kurzlebiger Schlüssel, OIDC-Identitäten und Transparenz-Log einfach macht.
- appsec№ 784
Paketsignatur
Anbringen einer kryptografischen Signatur an einem Softwarepaket, damit Konsumenten Veröffentlicher und Unversehrtheit des Artefakts überprüfen können.
- appsec№ 870
Provenance-Attestation
Signierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: ein vom OpenSSF veröffentlichter stufenweiser Anforderungskatalog, der Erstellung, Signatur und Verifikation von Software gegen Lieferketten-Manipulation zunehmend härtet.
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- appsec№ 522
in-toto
Offenes Framework, das jeden Schritt einer Software-Lieferkette kryptografisch attestiert, damit Konsumenten überprüfen können, dass das Artefakt genau wie vom Projektverantwortlichen vorgesehen erzeugt und behandelt wurde.