_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

Image Signing — Cosign a Sigstore

01. 01. 2024 1 min čtení intermediate

Podepsaný image zaručuje, že pochází z vašeho buildu a nebyl modifikován. Cosign + Sigstore to řeší elegantně.

Cosign — podpis a ověření

Podpis (keyless — OIDC identity)

cosign sign –yes ghcr.io/myorg/myapp:v1.0

Ověření

cosign verify ghcr.io/myorg/myapp:v1.0

S klíčem

cosign generate-key-pair cosign sign –key cosign.key ghcr.io/myorg/myapp:v1.0 cosign verify –key cosign.pub ghcr.io/myorg/myapp:v1.0

Kubernetes admission — Kyverno

apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: name: verify-images spec: rules: - name: verify-cosign match: resources: kinds: [Pod] verifyImages: - imageReferences: [“ghcr.io/myorg/*“] attestors: - entries: - keyless: subject: “*@myorg.com” issuer: “https://accounts.google.com”

Klíčový takeaway

Podepisujte images v CI/CD, ověřujte v Kubernetes (Kyverno/OPA). Keyless signing se Sigstore.

securitycosignsigstorecontainers

Další know-how

Container Security — best practices pro produkci

Praktické best practices pro zabezpečení kontejnerů v produkci. Image scanning, runtime security, least privilege a...

Supply Chain Security — SLSA, Sigstore a software provenance

Zabezpečení software supply chain. SLSA framework, Sigstore pro podepisování artefaktů a SBOM v CI/CD.

Container Security — Trivy, Falco

Bezpečné kontejnery. Image scanning, runtime security, best practices.