聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

谷歌发布一款新的开源工具 Cosign,使容器镜像的签名和认证管理流程更为方便。

Cosign 由谷歌和Linux 基金会的 sigstore 项目联合发布。谷歌表示,cosign 的目的是“使签名成为不可见的基础设施”。谷歌指出所有的distroless (仅包含必要应用程序及其依赖关系的镜像)镜像已通过该开源工具签名且distroless 的所有用户可轻松查看是否使用了正在寻找的基本镜像。

谷歌表示已将 cosign 集成到 distroless CI 系统,因此将distroless 签名仅转变为构建镜像的 Cloud Build 工作的另外一个步骤。谷歌解释称,“这一额外步骤使用 cosign 容器镜像和存储在 GCP KMS 中的一个关键对签数所有的 distroless 镜像。通过这个额外的签名步骤,用户可以验证当前所运行的 distroless 镜像是在正确的 CI 环境中构建的。”

Cosign 可当作CLI工具或镜像运行,支持自身的公钥基础设施 (PKI)、硬件和 KMS 签名、谷歌的免费 OIDC PKI (Fucio) 和内置二进制透明度和时间戳服务 (Rekor)。

Kubernetes 正在使用这款新工具对镜像进行验证,谷歌表示 Kubernetes SIG Release 旨在“为项目创建可消费、可内省且安全的供应链。“

谷歌计划在未来几个月向 distroless 增加额外的sigstore 技术支持。

工具地址:https://github.com/sigstore/cosign

推荐阅读

开源容器化应用 Kubernetes 被曝严重的路径遍历漏洞

开源的 rkt 容器运行时被曝多个 0day,可导致黑客获取主机 root 权限

开源的 rkt 容器运行时被曝多个 0day,可导致黑客获取主机 root 权限

谷歌Linux基金会等联合推出开源软件签名服务 sigstore,提振软件供应链安全

谷歌提出治理开源软件漏洞的新框架:知悉、预防、修复

原文链接

https://www.securityweek.com/google-releases-open-source-tool-verifying-containers

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

谷歌开源容器镜像的签名和验证工具 Cosign相关推荐

  1. java实现镜像系统_谷歌开源Java镜像构建工具Jib

    容器的出现让Java开发人员比以往任何时候都更接近"编写一次,到处运行"的工作流程,但要对Java应用程序进行容器化并非易事:你必须编写Dockerfile,以root身份运行Do ...

  2. 阿里巴巴开源容器镜像加速技术

    作者 |陈博 来源 | 阿里巴巴云原生公众号 近日阿里巴巴开源了其云原生容器镜像加速技术,它推出的 overlaybd 镜像格式,相比于传统的分层 tar 包文件格式,实现了基于网络的按需读取,从而使 ...

  3. AVB之镜像的签名及验证签名详解

    文章目录 1.签名流程 1.1 镜像的签名 1.2 镜像的内容 2.验证镜像的hash和signature签名 2.1 计算hash 2.2 验证签名 1.签名流程 我们以一下空的dtbo.img镜像 ...

  4. 谷歌开源Allstar 项目,保护GitHub 仓库安全

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌开源 Allstar 项目,通过不断监控和执行一系列安全策略来保护 GitHub 项目的安全,从而阻止基本的安全配置错误问题. Allsta ...

  5. 对容器镜像的思考和讨论

    作者 | Liu,Bo 来源|阿里巴巴云原生公众号 前言 常言道,startup 有 startup 的好,大厂有大厂的好,那么大厂究竟好在哪呢?拿硅谷老牌大厂们 FLG 来说,如果要问最令人怀念的是 ...

  6. 如何使用 Podman 签署和分发容器镜像

    签署容器镜像的动机是只信任专门的镜像提供者以减轻中间人 (MITM) 攻击或对容器注册表的攻击.签署图像的一种方法是使用 GNU Privacy Guard ( GPG ) 密钥.这种技术通常与任何符 ...

  7. 阿里云开源 image-syncer 工具,容器镜像迁移同步的终极利器

    为什么要做这个工具? 由于阿里云上的容器服务 ACK 在使用成本.运维成本.方便性.长期稳定性上大大超过公司自建自维护 Kubernets 集群,有不少公司纷纷想把之前自己维护 Kubernetes ...

  8. 阿里云、蚂蚁开源 Nydus——容器镜像加速服务

    近日,Dragonfly 项目引入了一个容器镜像加速服务 nydus.据悉,nydus 是由阿里云和蚂蚁集团的工程师合作开发,并大规模部署在内部的生产环境中. 据 Dragonfly 发布的消息,在其 ...

  9. 多平台容器镜像构建就看这一篇

    前言 愿景与现实 早在1995年,就有"write once and run anywhere"(WORA,编写一次即可在任何地方运行)用于描述 Java 应用程序.时过20年,D ...

最新文章

  1. 简介SharePoint 2010 14 Hive文件夹
  2. Django restframework之Token验证的缺陷及jwt的简单使用
  3. Python-OS平台编程
  4. Redis 4.x/5.x未授权访问漏洞
  5. python 爬虫-beautifulsoup4
  6. 数值计算方法(三)——变步长梯形法与龙贝格算法
  7. Firefox 差点就赢了第二次浏览器大战!
  8. Makefile:GCC CFLAGS变量和LDFLAGS变量
  9. 配置IP、网络问题排查
  10. 从古琴音乐中浅谈中国古代文人音乐
  11. 提取Linux的下制作生成grldr,如何制作自己的LINUX系统?
  12. java 孕周计算器_周期表孕期计算器
  13. uniapp如何引入colorUI
  14. 视频处理指定颜色的提取
  15. 一位 70 后程序员的 24 个职场感悟
  16. Component name XXX should always be multi-word
  17. 江苏机器人竞赛南航_第十届江苏省大学生机器人大赛
  18. 基于STM32开发可燃气体智慧检测系统
  19. html5腾讯地图自动定位,移动web端使用腾讯地图实现定位功能
  20. 【高等数学笔记】两类曲线积分、曲面积分的转化

热门文章

  1. 【073】Android 数据存储(SQLite)
  2. luoguP4705 玩游戏
  3. python3的soker模块实现功能
  4. efs解密-Advanced EFS Data Recovery2.1-含注册KEY
  5. Struts2中的类型转换
  6. python glob模块的应用
  7. shell脚本-监控系统资源并通过短信报警
  8. 《Cisco/H3C交换机高级配置与管理技术手册》目录
  9. 失败 php_PHP+Mysql 实现数据库增删改查
  10. python 重定向到其他cmd_python 如何重定向到另一个终端?