Firmar sus imágenes de contenedor con SignServer y Cosign le ayuda a proteger su cadena de suministro software .
Una imagen de contenedor firmada le permite verificar el origen de una imagen, para garantizar que no ha sido manipulada y que solo las imágenes de confianza se incorporan a sus sistemas. Una firma de contenedor identifica y autentica quién firmó la imagen y lleva una carga útil firmada en un archivo JSON que identifica la imagen firmada.
Cómo firmar contenedores con Cosign y SignServer
Las imágenes de contenedores firmadas se pueden crear con SignServer junto con Cosign. Cosign es una herramienta para la firma y verificación de contenedores del proyecto Sigstore de la fundación Linux. Permite almacenar firmas junto con una imagen o artefacto en el registro de la Open Container Initiative (OCI). Para más información, consulte la documentación de Cosign.
Para firmar una imagen de contenedor, primero se utiliza Cosign para generar una carga útil que contenga el resumen (digest) de la imagen del contenedor. Luego, se utiliza SignServer para firmar la carga útil y, finalmente, se adjunta la carga útil firmada a la imagen del contenedor en el registro utilizando Cosign.
Posteriormente, Cosign puede utilizarse para verificar que el resumen (digest) de la carga útil de la firma coincide con el resumen (digest) de la imagen del contenedor a la que está adjunta la firma.
Por qué utilizar SignServer para la firma de contenedores
SignServer se basa en Open source y permite firmar no solo contenedores, sino también más de 20 formatos de firma adicionales para la firma de código, la firma de documentos y el sellado de tiempo. Además, SignServer es compatible con HSM de múltiples proveedores. Para almacenar las claves de firma de forma segura y conforme a la normativa, siempre se recomienda un HSM.
Con SignServer, todos sus servicios de firma se gestionan en un único lugar y la seguridad se aplica de forma consistente y rentable. Además, la plataforma también puede integrarse con su infraestructura DevOps para la automatización de procesos.
Comience con la firma de contenedores
¿Desea probar SignServer y Cosign para firmar una imagen de contenedor Docker?
- Descargue e instale SignServer Community Edition, consulte Descargar SignServer.
- Para firmar un contenedor, primero genere una carga útil utilizando Cosign y luego fírmela con SignServer. Consulte el videotutorial y las instrucciones completas.
