O Google lançou uma nova ferramenta de código aberto chamada cosign, para facilitar o gerenciamento do processo de assinatura e verificação de imagens de contêineres. Desenvolvido em colaboração com o projeto sigstore da Linux Foundation, o cosign deve “tornar as assinaturas invisíveis na infraestrutura”, segundo comunicado do Google.
O Google diz que todas as suas imagens distroless foram assinadas usando essa ferramenta de código aberto e que todos os usuários do distroless (imagens que contêm apenas o aplicativo necessário e suas dependências) podem verificar facilmente se estão usando a imagem base que precisam.
Veja isso
Gigantes do software se unem pela segurança do open source
Runc abre permissão root para containers
O Google informou que integrou o cosign ao sistema de CI, transformando a assinatura do distroless em apenas mais uma etapa do trabalho de Cloud Build responsável pela construção de imagens. “Esta etapa adicional usa a imagem do contêiner de cossign e um par de chaves armazenado no GCP KMS para assinar cada imagem sem distração. Com essa etapa de assinatura adicional, os usuários agora podem verificar se a imagem sem problemas que estão executando foi criada no ambiente de CI correto”, explica o Google.
O cosign pode ser executado como ferramenta CLI ou como imagem, suporta a própria Public Key Infrastructure (PKI), hardware e assinatura KMS, OIDC PKI (Fulcio) gratuitos do Google e um serviço binário integrado de transparência e carimbo de data/hora (Rekor). O Kubernetes, com o qual os mantenedores da sigstore contribuem, já está verificando as imagens com a nova ferramenta. O Google revela que o Kubernetes SIG Release tem como objetivo criar “uma cadeia de suprimentos consumível, introspectável e segura para o projeto”. O Google planeja adicionar tecnologias sigstore adicionais ao distroless nos próximos meses.
Com agências internacionais