Cosign
devsecops signing
Herramienta de firma y verificación de containers de Sigstore
Prerrequisitos:
docker
Ventajas y Desventajas
Ventajas
- + Firma de containers simple
- + Keyless signing con OIDC
- + Parte del proyecto Sigstore
- + Integración CI/CD
- + Verificación en admission
Desventajas
- - Relativamente nuevo
- - Requiere infraestructura de confianza
- - Curva de aprendizaje
Casos de Uso
- Signing de container images
- Supply chain security
- Verificación en Kubernetes
- Compliance de imágenes