cosign

5 commands

5 shown

Подписать образ по дайджесту Подписывайте по неизменяемому дайджесту, не по тегу; примечание: подпись по тегу небезопасна cosign sign --key cosign.key <host>/<name>@sha256:<id> #cosign#security#ci#k8s Беcключевая подпись через OIDC Беcключевая подпись через Fulcio/Rekor по OIDC-личности; modern: по умолчанию в cosign v2 COSIGN_EXPERIMENTAL=1 cosign sign <host>/<name>@sha256:<id> #cosign#security#ci#observability Проверить беcключевую подпись Проверка беcключевой подписи с привязкой к личности и OIDC-издателю; примечание: задавайте оба cosign verify --certificate-identity=<id> --certificate-oidc-issuer=<host> <host>/<name> | jq . #cosign#security#troubleshooting#ci Аттестация SBOM CycloneDX Прикрепляет подписанную аттестацию SBOM CycloneDX к дайджесту образа cosign attest --key cosign.key --predicate sbom.json --type cyclonedx <host>/<name>@sha256:<id> #cosign#security#ci#observability Проверить аттестацию по типу Проверяет аттестацию и декодирует in-toto payload для разбора предиката cosign verify-attestation --key cosign.pub --type cyclonedx <host>/<name> | jq -r '.payload' | base64 -d | jq . #cosign#security#troubleshooting#observability
no commands match