Google は最近、コンテナ イメージの署名と検証の管理を容易にする、cosign という新しいオープンソース ツールをリリースしました。

Google は Linux Foundation の sigstore プロジェクトと連携して cosign ツールを開発した。Google によると、このツールは「署名を簡単に気付かれにくいインフラストラクチャにする」ことを目的としているという。

Google によれば、すべての Distroless イメージはこのオープンソース ツールを使用して署名されており、すべての Distroless ユーザー (イメージ内に必要なアプリケーションとその依存関係のみを持つユーザー) は、必要なベース イメージを使用しているかどうかを簡単に確認できます。

Google はまた、共同署名を Distroless CI システムに統合し、Distroless 署名をイメージのビルドを担当する Cloud Build プロセスの別のステップにしたと述べています。

Googleは、「この追加手順では、cosignコンテナイメージとGCP KMSに保存されている鍵ペアを使用して、各Distrolessイメージに署名します。この追加の署名手順により、ユーザーは実行中のDistrolessイメージが適切なCI環境で構築されたことを確認できるようになります」と説明しています。

Cosign は CLI ツールまたはミラーとして実行でき、独自の公開鍵インフラストラクチャ (PKI)、ハードウェアおよび KMS 署名、Google の無料 OIDC PKI (Fulcio)、組み込みのバイナリ透明性およびタイムスタンプ サービス (Rekor) をサポートします。

sigstoreメンテナーによるKubernetesへの貢献では、既に新しいツールを用いてイメージを検証しており、GoogleはKubernetes SIGリリースの目標がプロジェクトのための「使いやすく、イントロスペクティブで、安全なサプライチェーン」の構築であると明らかにしました。Googleは今後数か月以内に、Distrolessにさらに多くのsigstoreテクノロジーを追加する予定です。

この記事はOSCHINAから転載したものです。

記事タイトル: Googleがコンテナ検証用のオープンソースツールをリリース

この記事のアドレス: https://www.oschina.net/news/141135/google-releases-open-source-tool-cosign