Cosign é uma ferramenta de assinatura e verificação de contêiner. Parte do Sigstore — um projeto sob o guarda-chuva Cloud Native Computing Foundation (CNCF) que visa simplificar a assinatura e a transparência do software —, Cosign suporta não apenas imagens Docker e Open Container Initiative (OCI), mas também outros artefatos que podem ser armazenados em um registro de contêiner. Já falamos sobre o Docker Notary, que também atua neste espaço. O Notary v1, entretanto, tem algumas desvantagens: não é nativo de registro e precisa de um servidor de Notary separado. O Cosign evita esse problema e armazena as assinaturas no registro ao lado de uma imagem. Atualmente, tem integrações com GitHub actions e Kubernetes usando um Webhook com outras integrações no pipeline. Usamos Cosign em alguns de nossos projetos e parece bastante promissor.
