探索 Sigstore Cosign:安全签名与验证的未来

最新推荐文章于 2024-06-18 09:37:01 发布
最新推荐文章于 2024-06-18 09:37:01 发布
阅读量475 收藏 9
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00019/article/details/136899849
版权

探索 Sigstore Cosign:安全签名与验证的未来

Sigstore 是一个开放源代码项目,由 Google、Red Hat 和 Intel 等大厂共同发起,旨在提供一个免费且可扩展的信任基础设施,以增强软件供应链的安全性。而其中的核心组件之一就是 cosign,它是一个用于容器和软件二进制文件签名及验证的工具。让我们深入了解 cosign,看看它是如何工作的,以及你能用它做些什么。

项目简介

主要专注于解决软件签名和验证的问题,特别是在云原生环境中的容器镜像安全。通过使用公钥基础设施 (PKI),Cosign 允许开发者对 Docker 镜像和其他二进制文件进行签名,确保它们未经篡改,并可以验证其来源的可信度。

技术分析

1. 使用标准签名格式: Cosign 基于 Web 身份验证(WebPKI)和 JSON Web Token(JWT)标准,这使得签名过程既简单又兼容现有的基础设施。此外,它还支持使用 OpenPGP 密钥和 KMS(如 Google Cloud KMS 或 AWS KMS)进行签名。

2. 容器签名与存储集成: 与其他解决方案不同,Cosign 直接集成到你的容器注册表(如 Google Container Registry, Docker Hub 等)中,允许在推送或拉取时自动签名和验证镜像。这简化了工作流程,并确保在整个供应链中的安全性。

3. 可验证的构建记录: Cosign 还可以通过将签名校验结果嵌入 CI/CD 工具(如 Tekton 或 Jenkins)的日志中,帮助实现可审计的构建流程,提高透明度。

4. 二次验证功能: Cosign 提供了一种称为“rekor”的公开可搜索的公证系统,使得任何人都可以独立地验证签名的真实性,进一步增强了信任链。

应用场景

  • 保障容器安全: 为你的 Docker 镜像添加签名,确保只有未被修改过的镜像才能部署。
  • 验证软件供应链: 在开发过程中集成 Cosign,对所有构建产物进行签名,增加软件的可信赖度。
  • 自动化合规检查: 将 Cosign 的验证逻辑集成到持续集成/持续交付 (CI/CD) 管道中,确保每次发布都符合安全要求。
  • 提升开源软件信任度: 开源项目可以使用 Cosign 提供每个版本的可验证签名,增加社区对其安全性的信心。

特点概览

  • 易用性: 简单的命令行接口,易于集成到现有工作流。
  • 开放性: 标准化签名和验证方法,跨平台和跨服务的互操作性。
  • 灵活性: 支持多种签名和密钥管理方案,适应不同组织的需求。
  • 透明度: 结合 rekor,提供公开可验证的信任数据。

结语

随着软件供应链攻击的日益频繁,保护你的代码和镜像变得至关重要。Cosign 以其强大的签名和验证能力,为现代软件开发提供了额外的安全层。无论是个人开发者还是大型企业,都能从 Cosign 中获益。现在就去尝试 ,开始你的安全签名之旅吧!

周琰策Scott
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
安全镜像签名cosign原理分析
SHELLCODE_8BIT的博客
06-07 1411
签名签名校验
安全容器签名方案cosign使用
SHELLCODE_8BIT的博客
05-07 2055
可以看到.sig签名已经上传到仓库,其名字为镜像sha256.sig,既签名的方式为,对其摘要做加密(无需本地镜像参与,直接根据tag从目标仓库拉取digest sha256做签名,之后生成一个OCI镜像推送到仓库),然后拉取镜像时,对其名称签名做解密,如果摘要一致,则说明没有被篡改。5.当我们使用签名的镜像部署时,提示,我们使用kubectl run 直接启动一个pod,pod和deployment区别在于,run是pod,deployment可以有pod,replicaset,jobs等等。
cosign:容器签名
03-10
共同签署 OCI注册表中的容器签名验证和存储。 Cosign旨在使签名成为不可见的基础结构。 信息 Cosign是项目的一部分。 我们还使用松弛的! 单击以获取邀请链接。 安装 现在,克隆并go build -o cosign ./cmd 。 如果我愿意为其他人使用而支持的话,我会发布发行版本。 快速开始 这显示了如何: 生成密钥对 对容器映像进行签名并将该签名存储在注册表中 查找容器图像的签名,并针对公共密钥进行验证 有关更多命令,请参见! 生成密钥对 $ cosign generate-key-pair Enter password for private key: Enter again: Private key written to cosign.key Public key written to cosign.key 签名容器并将签名存储在注册表中 $ cosign sig
推荐开源项目:Sigstore-js——安全的软件签名验证
最新发布
gitblog_00095的博客
06-18 550
推荐开源项目:Sigstore-js——安全的软件签名验证库 项目地址:https://gitcode.com/sigstore/sigstore-js 项目介绍 Sigstore-js 是一套用于与 Sigstore 服务交互的 JavaScript 库,旨在提供安全的软件签名验证工作流程。通过这个库,开发者可以在他们的应用中轻松实现对软件包、容器镜像等的可信签名,确保软件供应链的安全性。 ...
使用 Cosign 进行镜像签名和校验
k8s 生态
06-22 2169
Kubernetes 的供应链安全需求中,有一个重要的镜像签署和校验的环节,这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签...
对harbor仓库镜像打cosign签名
qq_30467221的博客
04-18 1365
cosign.pub密钥为:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE+ymG3kh3jF8pIkHBtHZ9KIR0LwEURYowx4CcjpyHaxdlgh2Vq4kpTK0+s/juEGMs/q99CKj+zONr4mS/NJ0v8A==)https://192.168.72.160或hosts域名映射为https://cjmharbor.com。//cosign login 仓库地址 -u 用户名 -p 密码。//以签名Harbor镜像为例。
cosign使用实践(一)本地验证二进制与镜像
YUNZHICHU的专栏
05-04 1544
cosign使用实践,github镜像推送
cosign:容器签名
02-16
共同签署 OCI注册表中的容器签名验证和存储。 安装 现在,克隆并go build -o cosign ./cmd 。 如果我愿意支持此版本,我会发布发行版本供其他人使用。 快速开始 这显示了如何: 生成密钥对 在容器映像上签名并将该签名存储在注册表中 查找容器图像的签名,并针对公共密钥进行验证 生成密钥对 $ cosign generate-key-pair Enter password for private key: Enter again: Private key written to cosign.key Public key written to cosign.key 对容器签名并将签名存储在注册表中 $ cosign sign -key cosign.key us-central1-docker.pkg.dev/dlorenc-vmtest2/test/taskrun E
Cosign: Web Single Sign-On:开源Web单一登录-开源
04-25
"Cosign: Web Single Sign-On" 是一个开源的Web单一登录系统,它为用户提供了一种方便、安全的身份验证方法,使得用户在访问多个相互关联的Web应用时只需进行一次登录。这个项目最初由密歇根大学开发,旨在满足高等...
Sigstore:软件签名解决供应链妥协问题
Sigstore:面向所有人的软件签名ZacharyNewmanChainguardzjn@chainguard.devJohn SpeedMeyersChainguardjsmeyers@chainguard.dev圣地亚哥·托雷斯-阿里亚斯普渡大学电气和计算机工程系santiagotorres@purdue.edu摘要...
容器签名-Golang开发
05-26
在OCI注册中心中共同签署容器签名验证和存储。 Cosign旨在使签名成为不可见的基础结构。 Info Cosign正在OCI注册表中开发cosign容器签名验证和存储。 Cosign旨在使签名成为不可见的基础结构。 Info Cosignsigstore项目的一部分。 我们还使用松弛的松弛通道! 单击此处以获取邀请链接。 the请参阅此处以获取有关实验性无钥匙签名模式的信息。 安装现在,克隆存储库并运行:go build -o cosign ./cmd/cosign或者,如果您具有Go 1.16+,则可以通过ru直接安装
signed-container:带有cosign的已签名容器示例
03-12
签名容器 带有cosign的已签名容器示例。... 可用于验证每个容器映像的公钥直接存储在git repo的cosign.pub文件中。 私钥也存储在此处(加密!)在cosign.key 。 GitHub操作配置有包含此密钥的密码的机密( CosignPa
Notary和Cosign容器镜像签名比较
SHELLCODE_8BIT的博客
04-18 865
这篇文章是为了帮助减少NotaryV2/Notation和Cosign项目之间的混淆。这是最终用户的一个常见问题,我有一段时间试图避免直接回答。现在 Notation 已经发布了一个 alpha,我认为是时候发布对差异的评估了。 现在的区别在于三个主要部分——签名格式、签名发现和密钥管理。 注意:有一个 Notary-TUF子项目专注于 OCI 注册中心的标准 TUF 实施——这是一个单独的项目,本文档不适用于它。 埃琳娜·莫日维洛(Elena Mozhvilo)在Unsplash上...
使用 Cosign 来对极狐GitLab 镜像进行签名
DevOps008的博客
06-06 979
使用 Cosign 来对极狐GitLab 镜像进行签名
谷歌开源容器镜像的签名验证工具 Cosign
smellycat000的专栏
05-11 772
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士谷歌发布一款新的开源工具 Cosign,使容器镜像的签名和认证管理流程更为方便。Cosign 由谷歌和Linux 基金会的 sig...
Tekton 的供应链安全工具 Chains
hanfengzxh的博客
05-14 531
软件供应链是指进入软件中的所有内容及其来源,简单地可以理解成软件的依赖项。依赖项是软件运行时所需的重要内容,可以是代码、二进制文件或其他组件,也可以是这些组件的来源,比如存储库或者包管理器之类的。包括代码的已知漏洞、受支持的版本、许可证信息、作者、贡献时间,以及在整个过程中的行为和任何时候接触到它的任何内容,比如用于编译、分发软件的基础架构组件。 CICD 流水线作为基础架构组件,承担着软件的构建、测试、分发和部署。作为供应链的一环,其也成为恶意攻击的目标。CICD 的行为信息可以作为安全审查的重要依据,.
【翻译】如何用Cosign和Distroless图像来保证容器的安全
超级码力
11-25 250
发表于 9月14日, 2021 原文为InfraCloud高级SRE Jeswin Ninan在InfraCloud的博客上发表的客座文章 容器技术和 "容器镜像 "这个词对许多开发人员、SRE和DevOps工程师来说并不陌生。但是,为生产部署提供安全的容器镜像是我们现在真正需要的东西。我们已经看到了最近通过插入后门对SolarWinds商业应用程序的软件供应链攻击。当客户从SolarWi...
CICD 的供应链安全工具 Tekton Chains
CSDN云计算
05-16 1032
作者 |Addo Zhang来源 | 云原生指北软件供应链是指进入软件中的所有内容及其来源,简单地可以理解成软件的依赖项。依赖项是软件运行时所需的重要内容,可以是代码、二进制文件或其他组件,也可以是这些组件的来源,比如存储库或者包管理器之类的。包括代码的已知漏洞、受支持的版本、许可证信息、作者、贡献时间,以及在整个过程中的行为和任何时候接触到它的任何内容,比如用于编译、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

周琰策Scott

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值