站长网 教程 Google 揭晓验证容器的开源工具

Google 揭晓验证容器的开源工具

Google 与 Linux 基金会的 sigstore 项目合作开发了 cosign 工具,Google 表示 cosign 的目的是「让签名成为不易被关注的基础结构」。 Google 表示,其所有的 Distroless 镜像都已使用该开源工具进行了签名,所有 Distroless 的用户(仅包含所需应用程序及

Google 与 Linux 基金会的 sigstore 项目合作开发了 cosign 工具,Google 表示 cosign 的目的是「让签名成为不易被关注的基础结构」。

Google 表示,其所有的 Distroless 镜像都已使用该开源工具进行了签名,所有 Distroless 的用户(仅包含所需应用程序及其依赖项的镜像)都可以轻松检查其是否正在使用所需的基础镜像。

Google 还表示,它已将 cosign 整合到 Distroless CI 系统中,从而将 Distroless 的签名转化为负责构建镜像的 Cloud Build 工作中的另一个步骤。

Google 解释道:"这个额外的步骤使用 cosign 容器镜像和存储在 GCP KMS 中的密钥对来签署每个 Distroless 镜像。有了这个额外的签名步骤,用户现在可以验证他们正在运行的 Distroless 镜像是否是在正确的 CI 环境中构建的。"

Cosign 可以作为 CLI 工具或镜像运行,支持自己的公钥基础设施(PKI,Public Key Infrastructure)、硬件和 KMS 签名、Google 的免费 OIDC PKI(Fulcio),以及内置的二进制透明度和时间戳服务(Rekor)。

sigstore 维护者所贡献的 Kubernetes 已经在用新工具验证镜像,Google 透露 Kubernetes SIG Release 的目标是为该项目创建 "一个可消耗、自省和安全的供应链"。Google 计划在未来几个月将更多的 sigstore 技术添加到 Distroless 中。

本文来自网络,不代表站长网立场,转载请注明出处:https://www.zwzz.com.cn/html/video/2021/0523/4455.html

作者: dawei

【声明】:站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。
联系我们

联系我们

0577-28828765

在线咨询: QQ交谈

邮箱: xwei067@foxmail.com

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部