GAT Digital Banner
GAT Digital Banner
container

Google libera ferramenta para checar contêineres

Ferramenta de código aberto chamada cosign facilita o gerenciamento de assinaturas e verificação de imagens de containers
Da Redação
10/05/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O Google lançou uma nova ferramenta de código aberto chamada cosign, para facilitar o gerenciamento do processo de assinatura e verificação de imagens de contêineres. Desenvolvido em colaboração com o projeto sigstore da Linux Foundation, o cosign deve “tornar as assinaturas invisíveis na infraestrutura”, segundo comunicado do Google.

O Google diz que todas as suas imagens distroless foram assinadas usando essa ferramenta de código aberto e que todos os usuários do distroless (imagens que contêm apenas o aplicativo necessário e suas dependências) podem verificar facilmente se estão usando a imagem base que precisam.

Veja isso
Gigantes do software se unem pela segurança do open source
Runc abre permissão root para containers

O Google informou que integrou o cosign ao sistema de CI, transformando a assinatura do distroless em apenas mais uma etapa do trabalho de Cloud Build responsável pela construção de imagens. “Esta etapa adicional usa a imagem do contêiner de cossign e um par de chaves armazenado no GCP KMS para assinar cada imagem sem distração. Com essa etapa de assinatura adicional, os usuários agora podem verificar se a imagem sem problemas que estão executando foi criada no ambiente de CI correto”, explica o Google.

O cosign pode ser executado como ferramenta CLI ou como imagem, suporta a própria Public Key Infrastructure (PKI), hardware e assinatura KMS, OIDC PKI (Fulcio) gratuitos do Google e um serviço binário integrado de transparência e carimbo de data/hora (Rekor). O Kubernetes, com o qual os mantenedores da sigstore contribuem, já está verificando as imagens com a nova ferramenta. O Google revela que o Kubernetes SIG Release tem como objetivo criar “uma cadeia de suprimentos consumível, introspectável e segura para o projeto”. O Google planeja adicionar tecnologias sigstore adicionais ao distroless nos próximos meses.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório