使用 Cosign 来对极狐GitLab 镜像进行签名

已于 2022-06-06 22:24:04 修改
阅读量1.3k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: DevSecOps Cloud Native 文章标签: linux ubuntu 运维
于 2022-06-06 22:22:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DevOps008/article/details/125155518
本文介绍了如何使用开源工具Cosign对极狐GitLab镜像进行签名和验证,以增强镜像的安全性。首先,详细讲解了Cosign的安装过程,然后演示了生成密钥对、签名镜像和验证签名的步骤。最后,展示了如何将签名集成到极狐GitLab的CI/CD流程中,以实现自动化的安全检查。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

关于 Cosign

Cosign 的安装

使用 Cosgin 对极狐GitLab 镜像进行签名

将镜像签名集成到极狐GitLab CI/CD 中

镜像签名能够防止镜像被篡改,是一种保护镜像安全的手段。

关于 Cosign

cosign 是 sigstore 项目的一部分,也是一个开源项目,主要用来对 OCI 镜像进行签名和验证,从而让签名成为一种无形的基础设施。cosign 目前支持以下几种签名方式:

  • 硬件和 KMS 签名
  • 使用自己的 PKI
  • 免费的 OIDC PKI
  • 内置的二进制透明和时间戳服务

Cosign 的安装

cosign 的安装有多种形式,可以根据不同的 OS 来进行安装,以 Ubuntu 20.04 为例,执行如下命令即可完成 cosign 的安装:

$ wget "https://github.com/sigstore/cosign/releases/download/v1.6.0/cosign_1.6.0_amd64.deb"

$ dpkg -i cosign_1.6.0_amd64.deb
Selecting previously unselected package cosign.
(Reading database ... 136644 files and directories currently installed.)
Preparing to unpack cosign_1.6.0_amd64.deb ...
Unpacking cosign (1.6.0) ...
Setting up cosign (1.6.0) ...

$ mv /usr/local/bin/cosign-linux-amd64 /usr/local/bin/cosign

version 命令查看是否安装成功:

$ cosign version
   ____    ___    ____    ___    ____   _   _
  / ___|  / _ \  / ___|  |_ _|  / ___| | \ | |
 | |     | | | | \___ \   | |  | |  _  |  \| |
 | |___  | |_| |  ___) |  | |  | |_| | | |\  |
  \____|  \___/  |____/  |___|  \____| |_| \_|
cosign

GitVersion:    v1.6.0
GitCommit:     4b2c3c0c8ee97f31b9dac3859b40e0a48b8648ee
GitTreeState:  clean
BuildDate:     '2022-03-03T17:59:06Z'
GoVersion:     go1.17.7
Compiler:      gc
Platform:      linux/amd64

可以看到 cosign 已经安装成功。

使用 Cosgin 对极狐GitLab 镜像进行签名

用 cosgin 对极狐GitLab 镜像进行签名大体分三个步骤:

  • 生成 keypair
  • 用 cosign.key 对需
最低0.47元/天 解锁文章

200万优质内容无限畅学
云安全镜像签名cosign原理分析
SHELLCODE_8BIT的博客
06-07 2739
签名签名校验
容器镜像签名思考
SHELLCODE_8BIT的博客
04-18 654
解决什么问题 1.镜像在流转中被篡改 2.仓库被攻破,镜像被篡改 3.镜像仓库地址被劫持
使用 Cosign 进行镜像签名和校验
k8s 生态
06-22 2775
Kubernetes 的供应链安全需求中,有一个重要的镜像签署和校验的环节,这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签...
GitLab项目容器镜像仓库管理指南
最新发布
gitblog_00683的博客
06-03 327
GitLab项目容器镜像仓库管理指南 概述 GitLab容器镜像仓库(Container Registry)是GitLab内置的Docker镜像存储解决方案,允许每个项目拥有自己的Docker镜像存储空间。作为管理员,正确配置和管理容器镜像仓库对于确保系统稳定性和安全性至关重要。 新一代容器镜像仓库 GitLab最新版本引入了新一代容器镜像仓库,具有以下显著改进: 支持在线垃圾回收功能 显著提升...
探索Docker Notary:安全的镜像签名与验证工具
Innocence_0的博客
07-14 1402
Docker Notary是Docker生态系统中的重要组件,它构建在Framework)之上,用于确保Docker镜像的安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。DockerNotary为容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。
容器镜像签名
SHELLCODE_8BIT的博客
04-18 535
(译)用 Notary 和 OPA 在 Kubernetes 上使用内容签名 - 云+社区 - 腾讯云 如何给 Docker 镜像进行安全签名_运维之美的博客-优快云博客
【云原生安全篇】Cosign助力Harbor验证镜像实践
StevenZeng学堂
10-01 4091
❤️ 摘要: 随着云原生技术的普及,容器镜像的安全性越来越受到重视。镜像验证是保护软件供应链的重要环节,它确保从镜像仓库拉取的镜像未被篡改,并且来源可信。Harbor 作为广泛使用的容器镜像仓库,通过与Cosign 集成,使镜像签名与验证变得更加便捷和安全。本文将详细介绍如何使用 Cosign 对 Harbor 中的镜像进行签名和验证,确保容器镜像在整个 DevOps 流水线中的安全性。
“Docker Content Trust + 镜像签名”,打造安全的 Kubernetes 供应链!
Docker公司
03-21 2306
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五晚6点10分  与您不见不散说在前面两周前,我们分享了一篇名为“镜像扫描+基于策略的镜像提升”,打造安全的 Kubernetes 供应链!的文章,它主要介绍了 Docker EE 的镜像扫描和基于策略的镜像提升功能为 Kubernetes 软件供应链提供持续、安全的保护。今天,我将为大家带来打造安全的 Kubernetes
使用 GitLab 和 Chainguard 保护开源容器基础设施
技术超强的网络安全平台
09-18 1191
容器技术可以创建一致的环境并简化部署流程,这对软件开发非常有益。容器有助于缩短开发周期、提高资源利用效率并提高应用程序管理的灵活性。但是,如果组织在每个软件开发项目中都重新设计轮子,那么部分效率可能会丧失。相反,基础映像应该作为构建其他容器映像的起点。这些基础映像包含最低限度的操作系统、基本工具、确保兼容性、减小的映像大小和其他优势。虽然基础镜像提供了很大的价值,但它们也存在风险。基础镜像可能包含无关的包,这可能会增加攻击面。容器镜像中的许多依赖项不经常更新,并且可能充满漏洞。
使用 Kyverno 验证 Kubernetes 容器镜像:实用指南
介绍AWS Azure GCP devops Terraform 等技术
05-12 724
在Kubernetes环境中,容器镜像的安全性是关键,因为未经验证的镜像源可能导致安全漏洞或供应链攻击。Kyverno作为一个Kubernetes原生策略引擎,提供了一种有效的方式来验证和强制执行容器镜像的安全措施。本文介绍了Kyverno的工作原理,包括其作为动态准入控制器的角色,以及如何通过定义策略来验证镜像源、标签和签名
cosign:容器签名
02-16
共同签署 OCI注册表中的容器签名,验证和存储。 安装 现在,克隆并go build -o cosign ./cmd 。 如果我愿意支持此版本,我会发布发行版本供其他人使用。 快速开始 这显示了如何: 生成密钥对 在容器映像上签名并将该签名存储在注册表中 查找容器图像的签名,并针对公共密钥进行验证 生成密钥对 $ cosign generate-key-pair Enter password for private key: Enter again: Private key written to cosign.key Public key written to cosign.key 对容器签名并将签名存储在注册表中 $ cosign sign -key cosign.key us-central1-docker.pkg.dev/dlorenc-vmtest2/test/taskrun E
容器入门(8) - 镜像签名
多恩斯基的博客
08-12 1606
http://redhatgov.io/workshops/security_container_intro/lab07-signing/
AVB之镜像签名及验证签名详解
楼中望月
12-23 7097
文章目录1.签名流程1.1 镜像签名1.2 镜像的内容2.验证镜像的hash和signature签名2.1 计算hash2.2 验证签名 1.签名流程 我们以一下空的dtbo.img镜像为例,进行说明 1.1 镜像签名 调用external/avb/avbtool.py脚本的add_hash_footer 函数 @build/core/Makefile # dtbo image INSTALLED_DTBOIMAGE_TARGET := $(PRODUCT_OUT)/dtbo.img $(INSTALL
镜像签名安全研究
SHELLCODE_8BIT的博客
04-26 1475
在 Kubernetes 上使用策略对部署行为进行限制,仅允许运行有签名镜像。 我们希望借助本文,让读者了解到如何在 Kubernetes 中使用可信镜像,其中依赖两个著名的 CNCF 开源项目:Notary 和 OPA。主要思路是使用 OPA 策略来定义自己的内容限制策略。 主要内容如下: 完成示例的先决条件 Notary 和镜像信任的基本概念 在 Kubernetes 上安装 Kubernetes OPA 和 Admission Control 的基本概念 在 Kubernetes .
谷歌开源容器镜像签名和验证工具 Cosign
smellycat000的专栏
05-11 903
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士谷歌发布一款新的开源工具 Cosign,使容器镜像签名和认证管理流程更为方便。Cosign 由谷歌和Linux 基金会的 sig...
如何给 Docker 镜像进行安全签名
easylife206的专栏
02-06 3543
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !幸运的是,Docker 通过一种称为 Docker 内容信任的功能来实现信任机制。在网络系统之间传输数据时...
OpenShift 4 - 为集群配置镜像签名功能,只能运行被签名的本地镜像
多恩斯基的博客
11-13 3487
《OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 文章目录配置签名环境安装镜像签名的Operator为集群指定签名用的 sigstore测试验证使用签名镜像运行为签名镜像对本地镜像签名参考 本文先安装镜像签名 Operator,然后将 docker.io 的镜像导入到 OpenShift 本地,在强制 docker.io 的镜像必须签名。最后使用对来 docker.io 的本地进行签名并运行。 配置签名环境 安装镜像签名的Operator 执行命令下
【转】ARM Trusted Firmware分析——镜像签名/加密/生成、解析/解密/验签
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-23 2096
生成fip.bin需要做如下工作工作: 编译certificates相关工具cert_create,生成证书。注意证书对应未加密的镜像。 如果需要加密,需要编译enctool工具encrypt_fw,用于对镜像文件进行加密,并加上加密头struct fw_enc_hdr。 fiptool工具生成fip.bin,使用cert_create生成的证书,如加密使用encrypt_fw加密后的镜像,否则使用原始镜像,加上FIP的TOC和Entry等信息。
云安全容器签名方案cosign使用
SHELLCODE_8BIT的博客
05-07 2231
可以看到.sig签名已经上传到仓库,其名字为镜像sha256.sig,既签名的方式为,对其摘要做加密(无需本地镜像参与,直接根据tag从目标仓库拉取digest sha256做签名,之后生成一个OCI镜像推送到仓库),然后拉取镜像时,对其名称签名做解密,如果摘要一致,则说明没有被篡改。5.当我们使用签名镜像部署时,提示,我们使用kubectl run 直接启动一个pod,pod和deployment区别在于,run是pod,deployment可以有pod,replicaset,jobs等等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值