cosign verify とは何か?
cosign verify は、Sigstore の署名ツールである Cosign の検証操作で、コンテナイメージや artifact が期待される identity による有効な署名を持つことを確認するために使われます。artifact の続行を許可する前に、署名、証明書の identity、そして必要に応じて transparency-log のエントリを検証します。検証に失敗すると deploy が停止します。
なぜ重要か
署名は、artifact を信頼する前に実際に何かが検証して初めて価値を持ちます。cosign verify を CI の gate や admission 時に実行することで、期待される workflow identity のイメージだけがデプロイされることを保証します。期待される identity を固定することが不可欠で、何らかの署名が存在することを検証するのは、正しい署名者を検証することと同じではありません。
関連ガイド
What Is Sigstore?Sigstore is an open-source project for signing software artifacts using short-lived keys and identity, with a…
What Is Fulcio?Fulcio is Sigstore's certificate authority that issues short-lived signing certificates bound to an OIDC iden…
What Is an Image Manifest List?An image manifest list is a multi-architecture index that points at per-platform image manifests so one tag s…