在 Kubernetes 环境中检查镜像签名的一种方法

Kubernetes 的供应链安全需求中，有一个重要的镜像签署和校验的环节，这个环节可以使用 OPA 结合 Notary 的方式来完成。最近 Linux基金会宣布免费 sigstore 签名服务，以确认软件的来源和真实性，在项目网站闲逛时，发现一个叫做 cosign 的子项目，这是个轻量级的选择，让我非常有兴趣，于是就有了本文。 部署 目前这个工具还没有提供二进制发布，需要克隆源代码，并使用 go 1.5 进行构建，具体方法请参阅项目页面。简单说就是 # git clone https://gi...