La signature de vos images de conteneurs avec SignServer et Cosign vous permet de sécuriser votre chaîne d'approvisionnement software .
Une image de conteneur signée vous permet de vérifier l'origine d'une image, de vous assurer qu'elle n'a pas été altérée et que seules des images fiables sont introduites dans vos systèmes. Une signature de conteneur identifie et authentifie la personne qui a signé l'image et contient une charge utile signée dans un fichier JSON qui identifie l'image signée.
Comment signer des conteneurs avec Cosign et SignServer
Les images de conteneurs signées peuvent être créées avec SignServer et Cosign. Cosign est un outil de signature et de vérification de conteneurs issu du projet Sigstore de la fondation Linux. Il permet de stocker des signatures avec une image ou un artefact dans le registre de l'Open Container Initiative (OCI ). Pour plus d'informations, voir la documentation de Cosign.
Pour signer une image de conteneur, vous utilisez d'abord Cosign pour générer une charge utile contenant le condensé de l'image de conteneur. Ensuite, vous utilisez SignServer pour signer la charge utile et enfin, vous attachez la charge utile signée à l'image de conteneur dans le registre à l'aide de Cosign.
Cosign peut ensuite être utilisé pour vérifier que le condensé de la charge utile de la signature correspond au condensé de l'image du conteneur auquel la signature est attachée.
Pourquoi utiliser SignServer pour la signature des conteneurs ?
SignServer est basé sur open source et vous permet de signer non seulement des conteneurs, mais aussi plus de 20 autres formats de signature pour la signature de code, la signature de documents et l'horodatage. En outre, SignServer prend en charge les HSM de plusieurs fournisseurs. Pour stocker les clés de signature de manière sûre et conforme, il est toujours recommandé d'utiliser un HSM.
Avec SignServer, tous vos services de signature sont gérés en un seul endroit et la sécurité est appliquée de manière cohérente et rentable. En outre, la plateforme peut également être intégrée à votre infrastructure DevOps pour l'automatisation des processus.
Démarrer avec la signature de conteneurs
Voulez-vous essayer SignServer et Cosign pour signer une image de conteneur Docker ?
- Téléchargez et installez SignServer Community Edition, voir Télécharger SignServer.
- Pour signer un conteneur, générez d'abord une charge utile à l'aide de Cosign, puis signez-la à l'aide de SignServer. Voir le tutoriel vidéo et les instructions complètes.
