Hacer que Web sea más seguro, un contenedor firmado a la vez


Presentamos Cosign

Cosign simplifica la firma y verificación de imágenes de contenedores, con el objetivo de hacer que las firmas sean una infraestructura invisible básicamente, se hace cargo de la parte difícil de firmar y verificar el software package por usted.

Desarrollamos cosign en colaboración con el proyecto sigstore, un proyecto de la Fundación Linux y un servicio sin fines de lucro que busca mejorar la cadena de suministro de computer software de código abierto facilitando la adopción de la firma de application criptográfico, respaldada por tecnologías de registro de transparencia.

¡Nos complace anunciar que todas nuestras imágenes sin distribución ahora están firmadas por cosign! Esto significa que todos los usuarios de distroless pueden verificar que de hecho están usando la imagen foundation que pretendían antes de iniciar la creación de imágenes, lo que hace que las imágenes sin distribución sean aún más confiables. De hecho, Kubernetes ya ha comenzado realizando esta comprobación en sus construcciones.

Al mirar hacia el futuro, la visión de Kubernetes SIG Launch es establecer una cadena de suministro consumible, introspectable y segura para el proyecto. Al colaborar con los mantenedores de sigstore (que son colaboradores de Kubernetes) para integrar la firma y la transparencia en nuestra cadena de suministro, esperamos ser un ejemplo de estándares en la industria tecnológica nativa (y más amplia) de la nube, dijo Stephen Augustus, copresidente de Lanzamiento de Kubernetes SIG.

Cómo funciona


Para comenzar a firmar distroless, integramos la firma conjunta en el sistema de CI sin distribución, que crea y envía imágenes a través de Cloud Create. Firmar cada imagen sin distribución fue tan fácil como agregar una Paso de Cloud Develop al trabajo de Cloud Build responsable de compilar y enviar las imágenes. Este paso adicional utiliza la imagen del contenedor de cosign y un par de claves almacenado en GCP KMS para firmar cada imagen distroless. Con este paso de firma adicional, los usuarios ahora pueden verificar que la imagen sin distribución que están ejecutando se creó en el entorno de CI correcto.

En este momento, cosign se puede ejecutar como una imagen o como una herramienta CLI. Soporta:

  • Firma de components y KMS
  • Traiga su propia PKI
  • Nuestro PKI OIDC gratuito (Fulcio)
  • Servicio integrado de transparencia binaria y sellado de tiempo (Rekor)

Firmar distroless con cosign es solo el comienzo, y planeamos incorporar otras tecnologías sigstore en distroless para continuar mejorando en los próximos meses. Tampoco podemos esperar para integrar sigstore con otros proyectos críticos. ¡Estén atentos aquí para recibir actualizaciones! Para comenzar a verificar sus propias imágenes de distribuciones, consulte las README y para obtener más información sobre sigstore, consulte sigstore.dev.




Enlace a la noticia authentic