Google 与 Linux 基金会的 sigstore 项目合作开发了 cosign 工具,Google 表示 cosign 的目的是「让签名成为不易被关注的基础结构」。
Google 表示,其所有的 Distroless 镜像都已使用该开源工具进行了签名,所有 Distroless 的用户(仅包含所需应用程序及其依赖项的镜像)都可以轻松检查其是否正在使用所需的基础镜像。
Google 还表示,它已将 cosign 整合到 Distroless CI 系统中,从而将 Distroless 的签名转化为负责构建镜像的 Cloud Build 工作中的另一个步骤。
Google 解释道:"这个额外的步骤使用 cosign 容器镜像和存储在 GCP KMS 中的密钥对来签署每个 Distroless 镜像。有了这个额外的签名步骤,用户现在可以验证他们正在运行的 Distroless 镜像是否是在正确的 CI 环境中构建的。"
Cosign 可以作为 CLI 工具或镜像运行,支持自己的公钥基础设施(PKI,Public Key Infrastructure)、硬件和 KMS 签名、Google 的免费 OIDC PKI(Fulcio),以及内置的二进制透明度和时间戳服务(Rekor)。
sigstore 维护者所贡献的 Kubernetes 已经在用新工具验证镜像,Google 透露 Kubernetes SIG Release 的目标是为该项目创建 "一个可消耗、自省和安全的供应链"。Google 计划在未来几个月将更多的 sigstore 技术添加到 Distroless 中。