发布于 : Oct 27, 2021
不在本期内容中
这一条目不在当前版本的技术雷达中。如果它出现在最近几期中,那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中,那么它很有可能已经不再具有相关性,我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。
了解更多
Oct 2021
评估
Sigstore 是云原生计算基金会(Cloud Native Computing Foundation,CNCF)旗下的项目,旨在简化软件签名和透明度。其中的 Cosign 用于容器签名及验证。Cosign 不仅支持 Docker 和开放容器计划(Open Container Initiative,OCI)镜像,还支持可以存储在容器注册表中的其他类型镜像。技术雷达介绍过功能类似的 Docker Notary。但 Notary v1 的问题在于需要维护单独的 Notary 服务器,而不能原生集成在容器注册表中。Cosign 将签名与镜像一起存储在注册表中,因此不存在这个问题。目前 Cosign 可以通过 Webhook 与 GitHub actions 及 Kubernetes 集成,并可以进一步集成在流水线中。我们已经在一些项目中使用了 Cosign,效果不错。