【云原生安全篇】Cosign助力Harbor验证镜像实践

【云原生安全篇】Cosign助力Harbor验证镜像实践

目录

• 1 引言
  
• 2 概念
  
  
  
  • 2.1 什么是 Cosign？
    
  • 2.2 为什么选择 Cosign 和 Harbor？
    
  
  
• 3 实践： Cosign对Harbor中的镜像签名
  
  
  
  • 3.1 环境准备
    
  • 3.2 安装 Cosign
    
  • 3.3 使用 Cosign 对镜像进行签名
    
    
    
    • 3.3.1 生成密钥对
      
    • 3.3.2 推送镜像至 Harbor
      
    • 3.3.3 为镜像签名
      
      
      
      • 3.3.3.1 系统添加Harbor的CA证书
        
      • 3.3.3.2 绕过Tls验证
        
      
      
    
    
  • 3.4 验证镜像签名
    
    
    
    • 3.4.1 登录Harbor查看镜像
      
    • 3.4.2 拉取镜像
      
    • 3.4.3 验证镜像签名
      
    
    
  • 3.5 Cosign实现离线镜像签名
    
    
    
    • 3.5.1 选择操纵：离线存储签名和发布
      
      
      
      • 3.5.1.1 导出签名
        
      • 3.5.1.2 导入签名并验证
        
      
      
    
    
  • 3.6 Harbor 中配置签名策略
    
    
    
    • 3.6.1 尝试拉取未签名的镜像
      
    
    
  • 3.7 集成 Cosign 到 DevOps 流水线
    
  
  
• 4 总结
  
• 5 参考文献：
  

---

   ❤️ 摘要： 随着云原生技术的遍及，容器镜像的安全性越来越受到器重。镜像验证是保护软件供应链的紧张环节，它确保从镜像仓库拉取的镜像未被窜改，并且来源可信。Harbor 作为广泛使用的容器镜像仓库，通过与Cosign 集成，使镜像的签名与验证变得更加便捷和安全。本文将详细介绍如何使用 Cosign 对 Harbor 中的镜像进行签名和验证，确保容器镜像在整个 DevOps 流水线中的安全性。
  

---