sigstore 项目由其旗下的几个开源组件组成:
- Fulcio (代码签名的根 CA)
- Rekor (用于记录签名元数据的不可变防篡改分类帐)
- Cosign (容器签名、验证和存储在符合 OCI 的注册表中)
在本文中,我将cosign项目中的部分以及如何使用它来签名和验证容器映像(以及其他受支持的对象)。的理念 cosign是使签名和验证过程成为 开发人员不可变的基础设施 。
安装和构建 cosign
在此示例中,我将cosign在基于 macOS 的系统上进行安装。首先,确保系统已安装并运行 Docker 以管理容器映像。
使用 brew,我安装cosign.
$ brew install sigstore/tap/cosign
==> Installing sigstore/tap/cosign
