这篇文章将为大家详细讲解有关Google发布验证容器的开源工具怎么用,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
Google 近日发布了一个新的开源工具,名为 cosign,利用这个工具可以使管理签名和验证容器镜像的过程更加容易。
Google 与 Linux 基金会的 sigstore 项目合作开发了 cosign 工具,Google 表示 cosign 的目的是「让签名成为不易被关注的基础结构」。
Google 表示,其所有的 Distroless 镜像都已使用该开源工具进行了签名,所有 Distroless 的用户(仅包含所需应用程序及其依赖项的镜像)都可以轻松检查其是否正在使用所需的基础镜像。
Google 还表示,它已将 cosign 整合到 Distroless CI 系统中,从而将 Distroless 的签名转化为负责构建镜像的 Cloud Build 工作中的另一个步骤。
Google 解释道:"这个额外的步骤使用 cosign 容器镜像和存储在 GCP KMS 中的密钥对来签署每个 Distroless 镜像。有了这个额外的签名步骤,用户现在可以验证他们正在运行的 Distroless 镜像是否是在正确的 CI 环境中构建的。"
Cosign 可以作为 CLI 工具或镜像运行,支持自己的公钥基础设施(PKI,Public Key Infrastructure)、硬件和 KMS 签名、Google 的免费 OIDC PKI(Fulcio),以及内置的二进制透明度和时间戳服务(Rekor)。
sigstore 维护者所贡献的 Kubernetes 已经在用新工具验证镜像,Google 透露 Kubernetes SIG Release 的目标是为该项目创建 "一个可消耗、自省和安全的供应链"。Google 计划在未来几个月将更多的 sigstore 技术添加到 Distroless 中。
关于“Google发布验证容器的开源工具怎么用”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。