【云原生安全篇】Cosign助力Harbor验证镜像实践

【云原生安全篇】Cosign助力Harbor验证镜像实践

目录

• 1 引言
• 2 概念
  • 2.1 什么是 Cosign？
  • 2.2 为什么选择 Cosign 和 Harbor？
• 3 实践： Cosign对Harbor中的镜像签名
  • 3.1 环境准备
  • 3.2 安装 Cosign
  • 3.3 使用 Cosign 对镜像进行签名
    • 3.3.1 生成密钥对
    • 3.3.2 推送镜像至 Harbor
    • 3.3.3 为镜像签名
      • 3.3.3.1 系统添加Harbor的CA证书
      • 3.3.3.2 绕过Tls验证
  • 3.4 验证镜像签名
    • 3.4.1 登录Harbor查看镜像
    • 3.4.2 拉取镜像
    • 3.4.3 验证镜像签名
  • 3.5 Cosign实现离线镜像签名
    • 3.5.1 选择操作：离线存储签名和发布
      • 3.5.1.1 导出签名
      • 3.5.1.2 导入签名并验证
  • 3.6 Harbor 中配置签名策略
    • 3.6.1 尝试拉取未签名的镜像
  • 3.7 集成 Cosign 到 DevOps 流水线
• 4 总结
• 5 参考文献：

❤️ 摘要： 随着云原生技术的普及，容器镜像的安全性越来越受到重视。镜像验证是保护软件供应链的重要环节，它确保从镜像仓库拉取的镜像未被篡改，并且来源可信。Harbor 作为广泛使用的容器镜像仓库，通过与Cosign 集成，使镜像的签名与验证变得更加便捷和安全。本文将详细介绍如何使用 Cosign 对 Harbor 中的镜像进行签名和验证，确保容器镜像在整个 DevOps 流水线中的安全性。