Skip to content
Latchkey

Cosignによる署名 - CI/CD用語集の定義

cosignは、コンテナイメージやその他のartifactに署名し検証するSigstoreプロジェクトのツールです。キーレス署名をサポートしており、OIDC IDに基づいてFulcioが短命の証明書を発行し、署名はRekorの透明性ログに記録されます。

キーレスのフロー

長命の秘密鍵を管理する代わりに、cosignはOIDCトークン(例えばGitHub Actionsのworkflow ID)で署名者を認証し、短命の署名証明書を取得して、署名を公開の場に記録します。これにより、共有された秘密情報なしで誰でもprovenanceを検証できます。

署名と検証

Terminal
# Keyless sign in CI (OIDC identity)
cosign sign --yes myregistry/app@sha256:...

# Verify
cosign verify --certificate-identity-regexp ".*" \
  --certificate-oidc-issuer https://token.actions.githubusercontent.com \
  myregistry/app@sha256:...

関連ガイド