Cosign
Cosign とは何ですか?
CosignSigstore プロジェクト由来のオープンソース CLI で、OCI 成果物などのソフトウェアに対し、鍵あり・鍵なし両方のワークフローで署名・検証・アテステーションを行うツール。
Cosign は Sigstore スタックのユーザー向けツールです。コンテナイメージ、OCI 成果物、blob、SBOM、in-toto アテステーションに署名し、署名を成果物と一緒に、または OCI レジストリに格納します。キーレスモードでは、OIDC ID に紐付いた短命な証明書を Fulcio から取得し、署名を Rekor 透明性ログに記録します。鍵モードでは従来の鍵、ハードウェアトークン、KMS マネージドな鍵を使えます。検証ポリシーでは、信頼する ID(特定の GitHub Actions ワークフローなど)、再利用可能ワークフロー、アテステーションの述語などを条件にできます。Cosign は多くの CI パイプラインや Kubernetes Admission(Kyverno、Connaisseur、OPA Gatekeeper)で標準的な署名ツールとなっており、サプライチェーンの完全性確保に貢献しています。
● 例
- 01
cosign sign --identity-token $OIDC_TOKEN ghcr.io/org/app:v1.2
- 02
本番イメージが特定の GitHub Actions ワークフローで署名されているかを Kyverno ポリシーで検証する例。
● よくある質問
Cosign とは何ですか?
Sigstore プロジェクト由来のオープンソース CLI で、OCI 成果物などのソフトウェアに対し、鍵あり・鍵なし両方のワークフローで署名・検証・アテステーションを行うツール。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
Cosign とはどういう意味ですか?
Sigstore プロジェクト由来のオープンソース CLI で、OCI 成果物などのソフトウェアに対し、鍵あり・鍵なし両方のワークフローで署名・検証・アテステーションを行うツール。
Cosign からどのように防御しますか?
Cosign に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Cosign の別名は何ですか?
一般的な別名: cosign。