Assinatura com Cosign - Definicao do Glossario de CI/CD
O cosign e uma ferramenta do projeto Sigstore que assina e verifica imagens de container e outros artifacts. Ele suporta assinatura sem chave (keyless), na qual um certificado de curta duracao e emitido pelo Fulcio com base em uma identidade OIDC e a assinatura e registrada no log de transparencia Rekor.
Fluxo keyless
Em vez de gerenciar uma chave privada de longa duracao, o cosign autentica o assinante com um token OIDC (por exemplo a identidade de um workflow do GitHub Actions), obtem um certificado de assinatura de curta duracao e registra a assinatura publicamente, para que qualquer pessoa possa verificar a proveniencia sem um segredo compartilhado.
Assinar e verificar
Terminal
# Keyless sign in CI (OIDC identity)
cosign sign --yes myregistry/app@sha256:...
# Verify
cosign verify --certificate-identity-regexp ".*" \
--certificate-oidc-issuer https://token.actions.githubusercontent.com \
myregistry/app@sha256:...Guias relacionados
Supply Chain Security - CI/CD Glossary DefinitionSupply Chain Security: Supply chain security is the practice of protecting every step that produces and deliv…
Attestation - CI/CD Glossary DefinitionAn attestation is a signed statement about an artifact - its provenance, scan results, or test status - that…
Provenance Attestation - CI/CD Glossary DefinitionProvenance Attestation: A provenance attestation is signed metadata that records how an artifact was built: t…