Cosignによる署名 - CI/CD用語集の定義
cosignは、コンテナイメージやその他のartifactに署名し検証するSigstoreプロジェクトのツールです。キーレス署名をサポートしており、OIDC IDに基づいてFulcioが短命の証明書を発行し、署名はRekorの透明性ログに記録されます。
キーレスのフロー
長命の秘密鍵を管理する代わりに、cosignはOIDCトークン(例えばGitHub Actionsのworkflow ID)で署名者を認証し、短命の署名証明書を取得して、署名を公開の場に記録します。これにより、共有された秘密情報なしで誰でもprovenanceを検証できます。
署名と検証
Terminal
# Keyless sign in CI (OIDC identity)
cosign sign --yes myregistry/app@sha256:...
# Verify
cosign verify --certificate-identity-regexp ".*" \
--certificate-oidc-issuer https://token.actions.githubusercontent.com \
myregistry/app@sha256:...関連ガイド
Supply Chain Security - CI/CD Glossary DefinitionSupply Chain Security: Supply chain security is the practice of protecting every step that produces and deliv…
Attestation - CI/CD Glossary DefinitionAn attestation is a signed statement about an artifact - its provenance, scan results, or test status - that…
Provenance Attestation - CI/CD Glossary DefinitionProvenance Attestation: A provenance attestation is signed metadata that records how an artifact was built: t…