Cosign
Что такое Cosign?
CosignOpen-source CLI из проекта Sigstore для подписи, верификации и аттестации OCI-артефактов и другого ПО, поддерживающий рабочие процессы как с ключами, так и без них.
Cosign — пользовательский инструмент стека Sigstore. Он подписывает контейнерные образы, OCI-артефакты, blob-файлы, SBOM и аттестации in-toto, сохраняя подписи рядом с артефактом или в OCI-реестре. В режиме keyless он получает короткоживущий сертификат от Fulcio, привязанный к OIDC-идентичности, и записывает подпись в журнал прозрачности Rekor; в режиме с ключом используются традиционные ключи, аппаратные токены или ключи, размещённые в KMS. Политики верификации могут требовать доверенные идентичности (например, конкретный GitHub Actions workflow), reusable workflows или предикаты аттестации. Cosign является дефолтным инструментом подписи во многих CI-пайплайнах и системах admission в Kubernetes (Kyverno, Connaisseur, OPA Gatekeeper) для обеспечения целостности цепочки поставок.
● Примеры
- 01
cosign sign --identity-token $OIDC_TOKEN ghcr.io/org/app:v1.2
- 02
Политика Kyverno, проверяющая, что production-образ подписан определённым workflow GitHub Actions.
● Частые вопросы
Что такое Cosign?
Open-source CLI из проекта Sigstore для подписи, верификации и аттестации OCI-артефактов и другого ПО, поддерживающий рабочие процессы как с ключами, так и без них. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Cosign?
Open-source CLI из проекта Sigstore для подписи, верификации и аттестации OCI-артефактов и другого ПО, поддерживающий рабочие процессы как с ключами, так и без них.
Как защититься от Cosign?
Защита от Cosign обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Cosign?
Распространённые альтернативные названия: cosign.