container

Google libera ferramenta para checar contêineres

Ferramenta de código aberto chamada cosign facilita o gerenciamento de assinaturas e verificação de imagens de containers
Da Redação
10/05/2021

O Google lançou uma nova ferramenta de código aberto chamada cosign, para facilitar o gerenciamento do processo de assinatura e verificação de imagens de contêineres. Desenvolvido em colaboração com o projeto sigstore da Linux Foundation, o cosign deve “tornar as assinaturas invisíveis na infraestrutura”, segundo comunicado do Google.

O Google diz que todas as suas imagens distroless foram assinadas usando essa ferramenta de código aberto e que todos os usuários do distroless (imagens que contêm apenas o aplicativo necessário e suas dependências) podem verificar facilmente se estão usando a imagem base que precisam.

Veja isso
Gigantes do software se unem pela segurança do open source
Runc abre permissão root para containers

O Google informou que integrou o cosign ao sistema de CI, transformando a assinatura do distroless em apenas mais uma etapa do trabalho de Cloud Build responsável pela construção de imagens. “Esta etapa adicional usa a imagem do contêiner de cossign e um par de chaves armazenado no GCP KMS para assinar cada imagem sem distração. Com essa etapa de assinatura adicional, os usuários agora podem verificar se a imagem sem problemas que estão executando foi criada no ambiente de CI correto”, explica o Google.

O cosign pode ser executado como ferramenta CLI ou como imagem, suporta a própria Public Key Infrastructure (PKI), hardware e assinatura KMS, OIDC PKI (Fulcio) gratuitos do Google e um serviço binário integrado de transparência e carimbo de data/hora (Rekor). O Kubernetes, com o qual os mantenedores da sigstore contribuem, já está verificando as imagens com a nova ferramenta. O Google revela que o Kubernetes SIG Release tem como objetivo criar “uma cadeia de suprimentos consumível, introspectável e segura para o projeto”. O Google planeja adicionar tecnologias sigstore adicionais ao distroless nos próximos meses.

Com agências internacionais

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)