使用 Cosign 进行镜像签名和校验

最新推荐文章于 2025-02-27 10:00:00 发布
最新推荐文章于 2025-02-27 10:00:00 发布
阅读量2.6k 收藏 1
点赞数 2
文章标签: docker 项目管理 github 安全 数据可视化
原文链接:https://github.com/sigstore/cosign
版权
本文介绍了如何利用Linux基金会的cosign工具进行Kubernetes镜像的签署和校验,涉及密钥生成、镜像签名、验证流程及注意事项,展示了如何在CI/CD环境中集成和保护镜像安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kubernetes 的供应链安全需求中,有一个重要的镜像签署和校验的环节,这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签名服务,以确认软件的来源和真实性,在项目网站闲逛时,发现一个叫做 cosign 的子项目,这是个轻量级的选择,让我非常有兴趣,于是就有了本文。

部署

目前这个工具还没有提供二进制发布,需要克隆源代码,并使用 go 1.5 进行构建,具体方法请参阅项目页面。简单说就是

# git clone https://github.com/sigstore/cosign.git
...
# cd cosign
# go build -o cosign ./cmd/cosign
...

这个工具的最基础功能有三个,分别是生成密钥对、镜像签名和校验签名。

生成密钥对

这个功能是很直白的:

cosign generate-key-pair
Enter password for private key:
Enter again:
Private key written to cosign.key
Public key written to cosign.pub

执行命令之后,输入密码,就会生成密钥对文件,私钥和公钥分别是 consign.keycosign.pub

签名

可以使用前边生成的密钥对进行签名,例如我的工具镜像:

cosign sign -key cosign.key dustise/sleep:v0.9.6
Enter password for private key:
Pushing signature to: index.docker.io/dustise/sleep:sha256-92dad62e00d08157a3921b7d7b568a247a8b24e8a067ad5dc20b210d7b1c2ad1.cosign

读者需要注意的一点是,这个功能是对仓库中镜像的哈希码生效的,因此签署过程无需本地镜像的参与,cosign 会直接在镜像仓库中获取对应 tag 的 sha256 内容,签署之后生成一个 OCI 镜像推送到该镜像的原有仓库之中,例如前面为 dustise/sleep:v0.9.6 进行签名,就生成了一个 dustise/sleep:sha256-92da.....1c2ad1.cosign 的镜像。如果被签名镜像在本地不存在,在完成操作之后,使用 docker images 命令查看,会发现被签署镜像和签署生成的镜像都不存在于本地。

另外一个就是,因为这里有 Push 操作,因此这个签署过程通常是有登录镜像库的需求的。

校验

校验过程很简单,使用 verify 指令,指定公钥即可,例如:

cosign verify  -key cosign.pub dustise/sleep:v0.9.6
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key
  - Any certificates were verified against the Fulcio roots.
...

注意

如果使用 cosign 来进行签署,过程基本上来说还算是愉快的,私钥放置在 CI 之中,而公钥则可以保存在集群里,入门方式可以使用客户端定期扫描;复杂的方式则可以实现一个简单的 admission controller 来根据 Selector 对负载进行校验,同样需要注意的是,cosign 只针对远程(镜像库)进行操作,对本地的同 Tag 替换是没什么防御力的,因此这里还要使用 Always Pull 的策略进行弥补(可以使用 Kyverno 或者 Gatekeeper 来强制实施)。

安全容器签名方案cosign使用
SHELLCODE_8BIT的博客
05-07 2194
可以看到.sig签名已经上传到仓库,其名字为镜像sha256.sig,既签名的方式为,对其摘要做加密(无需本地镜像参与,直接根据tag从目标仓库拉取digest sha256做签名,之后生成一个OCI镜像推送到仓库),然后拉取镜像时,对其名称签名做解密,如果摘要一致,则说明没有被篡改。5.当我们使用签名镜像部署时,提示,我们使用kubectl run 直接启动一个pod,pod和deployment区别在于,run是pod,deployment可以有pod,replicaset,jobs等等。
安全镜像签名cosign原理分析
SHELLCODE_8BIT的博客
06-07 2468
签名签名校验
使用 Cosign 来对极狐GitLab 镜像进行签名
DevOps008的博客
06-06 1249
使用 Cosign 来对极狐GitLab 镜像进行签名
cosign:容器签名
02-16
共同签署 OCI注册表中的容器签名,验证和存储。 安装 现在,克隆并go build -o cosign ./cmd 。 如果我愿意支持此版本,我会发布发行版本供其他人使用。 快速开始 这显示了如何: 生成密钥对 在容器映像上签名并将该签名存储在注册表中 查找容器图像的签名,并针对公共密钥进行验证 生成密钥对 $ cosign generate-key-pair Enter password for private key: Enter again: Private key written to cosign.key Public key written to cosign.key 对容器签名并将签名存储在注册表中 $ cosign sign -key cosign.key us-central1-docker.pkg.dev/dlorenc-vmtest2/test/taskrun E
Docker技术简介
2301_82330629的博客
01-31 892
例如,Docker Registry 通过镜像分发机制,可以让不同区域的用户从最近的节点获取容器镜像,显著提高镜像拉取的速度。docker ps -a命令来查看容器列表,可以看见Registry的详细内容包括container id(容器id)、image(镜像)、name(名字)、ports(端口)等等,当我们通过该命令查看Registry容器启动后,我们可以通过浏览器输入http://ip_addr:5000/v2/来查看Registry的运行情况。这样可以共享宿主机的 Bash 命令历史记录。
cosign:容器签名
03-10
共同签署 OCI注册表中的容器签名,验证和存储。 Cosign旨在使签名成为不可见的基础结构。 信息 Cosign是项目的一部分。 我们还使用松弛的! 单击以获取邀请链接。 安装 现在,克隆并go build -o cosign ./cmd 。 如果我愿意为其他人使用而支持的话,我会发布发行版本。 快速开始 这显示了如何: 生成密钥对 对容器映像进行签名并将该签名存储在注册表中 查找容器图像的签名,并针对公共密钥进行验证 有关更多命令,请参见! 生成密钥对 $ cosign generate-key-pair Enter password for private key: Enter again: Private key written to cosign.key Public key written to cosign.key 签名容器并将签名存储在注册表中 $ cosign sig
Harbor仓库 - 安装,远程终端登录,镜像漏洞扫描和信任认证
rrrr_ffff的博客
06-26 1305
目录1. Harbor简介2. Harbor的安装2.1 安装docker2.2 创建证书和秘钥2.3 设置加密2.4 修改配置文件并更新2.5 浏览器添加证书,访问主机IP3. 远程上传镜像到私有仓库5. 配置镜像加速器6. Harbor仓库镜像漏洞扫描和信任认证6.1 Registry6.2 新建harbor仓库6.3 镜像漏洞扫描6.4 镜像信任 1. Harbor简介 Docker 仓库是用来包含镜像的位置,Docker提供一个注册服务器(Register) 来保存多个仓库,每个仓库又
Docker Notary服务架构
weixin_41335923的博客
12-03 5727
Notary 客户端、服务器和签名者之间的交互: 公证服务器可选地支持来自使用JWT令牌的客户端的身份验证 。这需要管理访问控制的授权服务器,以及来自该授权服务器的包含用于签署令牌的公钥的证书包。 如果在 Notary 服务器上启用了令牌身份验证,则任何没有令牌的连接客户端都将被重定向到授权服务器。 有关更多信息,请参阅Docker Registry v2 身份验证的文档。 客户端将通过 HTTPS 上的基本身份验证登录到授权服务器,获取不记名令牌,然后在以后的请求中将令牌呈现给公证服务器。
Kubernetes 安全大揭秘:从攻击面剖析到纵深防御体系构建(下)
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
02-27 1779
Kubernetes安全已从单点防御演变为系统性工程,需在多维度攻防对抗中平衡敏捷性与安全性。7.1 技术纵深防御体系总结1. 核心防御原则零信任架构服务间身份认证:mTLS、SPIFFE标准实现细粒度身份验证。动态权限控制:基于服务身份的RBAC(如Istio AuthorizationPolicy)取代IP白名单。最小化攻击面供应链净化:镜像签名、Helm Chart验证与SBOM(Software Bill of Materials)阻断恶意代码注入。运行时沙箱化。
软件完整性保护方案之Sigstore
murphysec的博客
05-18 1084
背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施以及多家全球500强企业,影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方,这次事件可能可以避免。 为了确认软件的来源和构建方式,实现完整性保护,Linux基金会联合Red Hat、Google 和 Purdue 在 2021年3月推出了 Sigstore 代码签名项目,该项目致力于让开发人员签署发布时无感和让用户轻松验证。 Sigstore 在发布
探索Docker Notary:安全镜像签名与验证工具
Innocence_0的博客
07-14 1358
Docker Notary是Docker生态系统中的重要组件,它构建在Framework)之上,用于确保Docker镜像安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。DockerNotary为容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。
容器签名-Golang开发
05-26
在OCI注册中心中共同签署容器签名,验证和存储。 Cosign旨在使签名成为不可见的基础结构。 Info Cosign正在OCI注册表中开发cosign容器签名,验证和存储。 Cosign旨在使签名成为不可见的基础结构。 Info Cosign是sigstore项目的一部分。 我们还使用松弛的松弛通道! 单击此处以获取邀请链接。 the请参阅此处以获取有关实验性无钥匙签名模式的信息。 安装现在,克隆存储库并运行:go build -o cosign ./cmd/cosign或者,如果您具有Go 1.16+,则可以通过ru直接安装
探索Cosign:让容器签名变得简单而安全
gitblog_01079的博客
09-14 548
探索Cosign:让容器签名变得简单而安全 cosign Container Signing 项目地址: https://gitcode.com/gh_mirrors/co/cosign ...
安装cosign(二)
lovezln_125的专栏
09-28 821
<br />1.默认装apache是不会安装aspx的,所以需要先检查系统是否安装aspx<br /> find / -name aspx<br />2. 安装aspx<br />   yum install httpd-deve*<br />3.安装 cosign<br /> 1)./configure --enable-apache2=/usr/sbin/apxs / //apxs的路径<br />    --prefix=/var/www/html/cosign /   //指定cosign的安装路径
cosign使用实践(一)本地验证二进制与镜像
YUNZHICHU的专栏
05-04 2350
cosign使用实践,github镜像推送
CoSign的SSO模型流程图
Linvo's blog
04-14 2013
根据需要,最近在研究单点登录(Single Sign-On)。CoSign是密西根大学的一套开源Web SSO解决方案。 看不清请看原图:http://cosign.sourceforge.net/overview.shtml
【云原生安全篇】Cosign助力Harbor验证镜像实践
StevenZeng学堂
10-01 3891
❤️ 摘要: 随着云原生技术的普及,容器镜像安全性越来越受到重视。镜像验证是保护软件供应链的重要环节,它确保从镜像仓库拉取的镜像未被篡改,并且来源可信。Harbor 作为广泛使用的容器镜像仓库,通过与Cosign 集成,使镜像签名与验证变得更加便捷和安全。本文将详细介绍如何使用 Cosign 对 Harbor 中的镜像进行签名和验证,确保容器镜像在整个 DevOps 流水线中的安全性。
Android 内核镜像签名,Docker镜像签名
weixin_36418590的博客
06-03 429
应用上云的过程中,过了部署关和应用改造关之后,安全就是下一个大问题了。对于容器化应用来说,镜像安全是个非常根本的问题,例如 Harbor 中集成了 Clair 组件,用于对镜像进行漏洞扫描;之前介绍的 Trivy 也能够提供对镜像各层进行扫描的能力,类似的工具还有很多。在完成镜像本身的安全保障之后,一方面要把安全构建出来的镜像能够”原汁原味“的提供给运行时进行使用,同时还要对运行时环境进行约束,...
cosign配置weblogin(一)
lovezln_125的专栏
09-28 789
<br />生成配置weblogin需要的文件<br /><br />1.建密钥<br /> mkdir CAroot<br />  cd  CAroot<br />  mkdir private newcerts CA<br /> echo '01'>serial<br /> touch index.txt<br /><br />2.生成公钥(cert.pem)和私钥(key.pem)<br />openssl req -new -x509 -nodes -days 10000 -keyout key.p
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值