Image Signing — Cosign a Sigstore

Podepsaný image zaručuje, že pochází z vašeho buildu a nebyl modifikován. Cosign + Sigstore to řeší elegantně.

Cosign — podpis a ověření¶

Podpis (keyless — OIDC identity)¶

cosign sign –yes ghcr.io/myorg/myapp:v1.0

Ověření¶

cosign verify ghcr.io/myorg/myapp:v1.0

S klíčem¶

cosign generate-key-pair cosign sign –key cosign.key ghcr.io/myorg/myapp:v1.0 cosign verify –key cosign.pub ghcr.io/myorg/myapp:v1.0

Kubernetes admission — Kyverno¶

apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: name: verify-images spec: rules: - name: verify-cosign match: resources: kinds: [Pod] verifyImages: - imageReferences: [“ghcr.io/myorg/*“] attestors: - entries: - keyless: subject: “*@myorg.com” issuer: “https://accounts.google.com”

Klíčový takeaway¶

Podepisujte images v CI/CD, ověřujte v Kubernetes (Kyverno/OPA). Keyless signing se Sigstore.

securitycosignsigstorecontainers

Sdílet:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Image Signing — Cosign a Sigstore

Cosign — podpis a ověření¶

Podpis (keyless — OIDC identity)¶

Ověření¶

S klíčem¶

Kubernetes admission — Kyverno¶

Klíčový takeaway¶

CORE SYSTEMS tým

Další know-how

Container Security — Trivy, Falco

Container Security — best practices pro produkci

Supply Chain Security — SLSA, Sigstore a software provenance

Confidential Computing — důvěrné výpočty v cloudu

Odcházíte?