Google 近日發(fā)布了一個新的開源工具，名為 cosign，利用這個工具可以使管理簽名和驗證容器鏡像的過程更加容易。

Google 與 Linux 基金會的 sigstore 項目合作開發(fā)了 cosign 工具，Google 表示 cosign 的目的是「讓簽名成為不易被關(guān)注的基礎(chǔ)結(jié)構(gòu)」。

Google 表示，其所有的 Distroless 鏡像都已使用該開源工具進(jìn)行了簽名，所有 Distroless 的用戶(僅包含所需應(yīng)用程序及其依賴項的鏡像)都可以輕松檢查其是否正在使用所需的基礎(chǔ)鏡像。

Google 還表示，它已將 cosign 整合到 Distroless CI 系統(tǒng)中，從而將 Distroless 的簽名轉(zhuǎn)化為負(fù)責(zé)構(gòu)建鏡像的 Cloud Build 工作中的另一個步驟。

Google 解釋道："這個額外的步驟使用 cosign 容器鏡像和存儲在 GCP KMS 中的密鑰對來簽署每個 Distroless 鏡像。有了這個額外的簽名步驟，用戶現(xiàn)在可以驗證他們正在運(yùn)行的 Distroless 鏡像是否是在正確的 CI 環(huán)境中構(gòu)建的。"

Cosign 可以作為 CLI 工具或鏡像運(yùn)行，支持自己的公鑰基礎(chǔ)設(shè)施(PKI，Public Key Infrastructure)、硬件和 KMS 簽名、Google 的免費(fèi) OIDC PKI(Fulcio)，以及內(nèi)置的二進(jìn)制透明度和時間戳服務(wù)(Rekor)。

sigstore 維護(hù)者所貢獻(xiàn)的 Kubernetes 已經(jīng)在用新工具驗證鏡像，Google 透露 Kubernetes SIG Release 的目標(biāo)是為該項目創(chuàng)建 "一個可消耗、自省和安全的供應(yīng)鏈"。Google 計劃在未來幾個月將更多的 sigstore 技術(shù)添加到 Distroless 中。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Google 發(fā)布驗證容器的開源工具

本文地址：https://www.oschina.net/news/141135/google-releases-open-source-tool-cosign