谷歌开源容器镜像的签名和验证工具 Cosign

Cosign 由谷歌和Linux 基金会的 sigstore 项目联合发布。谷歌表示，cosign 的目的是“使签名成为不可见的基础设施”。谷歌指出所有的distroless （仅包含必要应用程序及其依赖关系的镜像）镜像已通过该开源工具签名且distroless 的所有用户可轻松查看是否使用了正在寻找的基本镜像。

谷歌表示已将 cosign 集成到 distroless CI 系统，因此将distroless 签名仅转变为构建镜像的 Cloud Build 工作的另外一个步骤。谷歌解释称，“这一额外步骤使用 cosign 容器镜像和存储在 GCP KMS 中的一个关键对签数所有的 distroless 镜像。通过这个额外的签名步骤，用户可以验证当前所运行的 distroless 镜像是在正确的 CI 环境中构建的。”

Cosign 可当作CLI工具或镜像运行，支持自身的公钥基础设施 (PKI)、硬件和 KMS 签名、谷歌的免费 OIDC PKI (Fucio) 和内置二进制透明度和时间戳服务 (Rekor)。

Kubernetes 正在使用这款新工具对镜像进行验证，谷歌表示 Kubernetes SIG Release 旨在“为项目创建可消费、可内省且安全的供应链。“

谷歌计划在未来几个月向 distroless 增加额外的sigstore 技术支持。

工具地址：https://github.com/sigstore/cosign