Cosign es una herramienta de firma y verificación de contenedores. Parte de Sigstore — un proyecto bajo el paraguas de Cloud Native Computing Foundation (CNCF) que busca simplificar la firma de software y la transparencia — Cosign soporta no solo imágenes de Docker y Open Container Initiative (OCI) sino también otros artefactos que se pueden almacenar en un registro de contenedores. Anteriormente hablamos sobre Docker Notary, que también opera en este espacio; Notary v1, sin embargo, tiene algunas desventajas: no tiene registros nativos y necesita un servidor Notary por separado. Cosign evita este problema y almacena las firmas en el registro junto a una imagen. Actualmente se integra con GitHub actions y Kubernetes usando un Webhook con posteriores integraciones en los pipeline. Hemos usado Cosign en algunos de nuestros proyectos y parece bastante prometedor.
