Skip to content
Latchkey

O Que É cosign verify?

cosign verify é a operação de verificação do Cosign, a ferramenta de assinatura do Sigstore, usada para confirmar que uma imagem de container ou artifact carrega uma assinatura válida de uma identidade esperada. Ela confere a assinatura, a identidade do certificado e, opcionalmente, a entrada no log de transparência antes de permitir que o artifact prossiga. Uma verificação com falha interrompe um deploy.

Por que isso importa

Assinar só agrega valor se algo de fato verificar antes de confiar no artifact. Executar cosign verify como um gate no CI ou no momento de admissão garante que apenas imagens da identidade de workflow esperada sejam implantadas. Fixar a identidade esperada é essencial; verificar que qualquer assinatura existe não é o mesmo que verificar o signatário correto.

Guias relacionados