Google 发布验证容器的发布开源工具

作者：Alias_Travis 2021-05-12 12:46:43开源 Google 近日发布了一个新的开源工具，名为 cosign，验证源工利用这个工具可以使管理签名和验证容器镜像的容器过程更加容易。

Google 近日发布了一个新的发布开源工具，名为 cosign，验证源工利用这个工具可以使管理签名和验证容器镜像的容器过程更加容易。

Google 与 Linux 基金会的发布 sigstore 项目合作开发了 cosign 工具，Google 表示 cosign 的验证源工目的是「让签名成为不易被关注的基础结构」。

Google 表示，容器其所有的发布 Distroless 镜像都已使用该开源工具进行了签名，所有 Distroless 的验证源工用户(仅包含所需应用程序及其依赖项的镜像)都可以轻松检查其是否正在使用所需的基础镜像。

Google 还表示，容器它已将 cosign 整合到 Distroless CI 系统中，发布从而将 Distroless 的验证源工签名转化为负责构建镜像的 Cloud Build 工作中的另一个步骤。

Google 解释道："这个额外的容器步骤使用 cosign 容器镜像和存储在 GCP KMS 中的密钥对来签署每个 Distroless 镜像。有了这个额外的签名步骤，用户现在可以验证他们正在运行的 Distroless 镜像是否是在正确的 CI 环境中构建的。"

Cosign 可以作为 CLI 工具或镜像运行，支持自己的公钥基础设施(PKI，Public Key Infrastructure)、硬件和 KMS 签名、Google 的免费 OIDC PKI(Fulcio)，以及内置的二进制透明度和时间戳服务(Rekor)。

sigstore 维护者所贡献的 Kubernetes 已经在用新工具验证镜像，Google 透露 Kubernetes SIG Release 的目标是为该项目创建 "一个可消耗、自省和安全的供应链"。Google 计划在未来几个月将更多的 sigstore 技术添加到 Distroless 中。

本文转自OSCHINA

本文标题：Google 发布验证容器的开源工具

本文地址：https://www.oschina.net/news/141135/google-releases-open-source-tool-cosign

责任编辑：未丽燕 来源： 开源中国 Google开源工具验证容器

(责任编辑：探索)