Skip to content
Latchkey

cosign verify とは何か?

cosign verify は、Sigstore の署名ツールである Cosign の検証操作で、コンテナイメージや artifact が期待される identity による有効な署名を持つことを確認するために使われます。artifact の続行を許可する前に、署名、証明書の identity、そして必要に応じて transparency-log のエントリを検証します。検証に失敗すると deploy が停止します。

なぜ重要か

署名は、artifact を信頼する前に実際に何かが検証して初めて価値を持ちます。cosign verify を CI の gate や admission 時に実行することで、期待される workflow identity のイメージだけがデプロイされることを保証します。期待される identity を固定することが不可欠で、何らかの署名が存在することを検証するのは、正しい署名者を検証することと同じではありません。

関連ガイド