cosign
5 commands
5 shown
Подписать образ по дайджесту
Подписывайте по неизменяемому дайджесту, не по тегу; примечание: подпись по тегу небезопасна
cosign sign --key cosign.key <host>/<name>@sha256:<id>
Беcключевая подпись через OIDC
Беcключевая подпись через Fulcio/Rekor по OIDC-личности; modern: по умолчанию в cosign v2
COSIGN_EXPERIMENTAL=1 cosign sign <host>/<name>@sha256:<id>
Проверить беcключевую подпись
Проверка беcключевой подписи с привязкой к личности и OIDC-издателю; примечание: задавайте оба
cosign verify --certificate-identity=<id> --certificate-oidc-issuer=<host> <host>/<name> | jq .
Аттестация SBOM CycloneDX
Прикрепляет подписанную аттестацию SBOM CycloneDX к дайджесту образа
cosign attest --key cosign.key --predicate sbom.json --type cyclonedx <host>/<name>@sha256:<id>
Проверить аттестацию по типу
Проверяет аттестацию и декодирует in-toto payload для разбора предиката
cosign verify-attestation --key cosign.pub --type cyclonedx <host>/<name> | jq -r '.payload' | base64 -d | jq .
no commands match