Know-How
Image Signing — Cosign a Sigstore
Podepsaný image zaručuje, že pochází z vašeho buildu a nebyl modifikován. Cosign + Sigstore to řeší elegantně.
Cosign — podpis a ověření
# Podpis (keyless — OIDC identity)
cosign sign --yes ghcr.io/myorg/myapp:v1.0
# Ověření
cosign verify ghcr.io/myorg/myapp:v1.0
# S klíčem
cosign generate-key-pair
cosign sign --key cosign.key ghcr.io/myorg/myapp:v1.0
cosign verify --key cosign.pub ghcr.io/myorg/myapp:v1.0
Kubernetes admission — Kyverno
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: verify-images
spec:
rules:
- name: verify-cosign
match:
resources:
kinds: [Pod]
verifyImages:
- imageReferences: ["ghcr.io/myorg/*"]
attestors:
- entries:
- keyless:
subject: "*@myorg.com"
issuer: "https://accounts.google.com"
Klíčový takeaway
Podepisujte images v CI/CD, ověřujte v Kubernetes (Kyverno/OPA). Keyless signing se Sigstore.