Skip to content
Latchkey

Assinatura com Cosign - Definicao do Glossario de CI/CD

O cosign e uma ferramenta do projeto Sigstore que assina e verifica imagens de container e outros artifacts. Ele suporta assinatura sem chave (keyless), na qual um certificado de curta duracao e emitido pelo Fulcio com base em uma identidade OIDC e a assinatura e registrada no log de transparencia Rekor.

Fluxo keyless

Em vez de gerenciar uma chave privada de longa duracao, o cosign autentica o assinante com um token OIDC (por exemplo a identidade de um workflow do GitHub Actions), obtem um certificado de assinatura de curta duracao e registra a assinatura publicamente, para que qualquer pessoa possa verificar a proveniencia sem um segredo compartilhado.

Assinar e verificar

Terminal
# Keyless sign in CI (OIDC identity)
cosign sign --yes myregistry/app@sha256:...

# Verify
cosign verify --certificate-identity-regexp ".*" \
  --certificate-oidc-issuer https://token.actions.githubusercontent.com \
  myregistry/app@sha256:...

Guias relacionados