是谷歌和 Linux 基金会的 项目联合发布的开源工具,能让容器镜像的签名和认证管理更便捷。它支持多种签名方式,在 等场景也有应用。以下就来具体说说相关内容。
是什么
是为方便容器镜像签名和认证管理而生的工具。它由谷歌和 项目联合推出,目标是让签名成为无形的基础设施。像所有 镜像都用它签名,用户能轻松查看是否用对基础镜像。
有啥特点
既可以当作 CLI 工具,也能作为镜像运行。它支持自身的公钥基础设施,还有硬件和 KMS 签名。而且,它集成了谷歌免费的 OIDC PKI 以及内置的二进制透明度和时间戳服务,功能十分强大。
如何集成使用
谷歌已把 集成到 CI 系统,让 签名成为构建镜像的 Cloud Build 的一个步骤。这个步骤用 容器镜像和 GCP KMS 中的密钥对所有 镜像签名,用户借此能验证镜像构建环境是否正确。
在 应用
已在使用 对镜像进行验证。谷歌提到, SIG 致力于为项目打造可消费、可内省且安全的供应链, 能助力其达成这个目标。
未来有啥计划
谷歌打算在未来几个月为 增加额外的 技术支持。随着技术发展, 可能会有更多功能和应用场景,值得持续关注。
大家觉得 在未来容器安全领域会发挥多大作用呢?欢迎评论、点赞和分享。
