Red Hat Summit12장. sigstore로 보안 서명 관리
OpenShift Container Platform과 함께 sigstore를 사용하면 공급망 보안을 강화할 수 있습니다.
sigstore 지원은 Technology Preview 기능에만 해당됩니다. 기술 프리뷰 기능은 Red Hat 프로덕션 서비스 수준 계약(SLA)에서 지원되지 않으며 기능적으로 완전하지 않을 수 있습니다. 따라서 프로덕션 환경에서 사용하는 것은 권장하지 않습니다. 이러한 기능을 사용하면 향후 제품 기능을 조기에 이용할 수 있어 개발 과정에서 고객이 기능을 테스트하고 피드백을 제공할 수 있습니다.
Red Hat 기술 프리뷰 기능의 지원 범위에 대한 자세한 내용은 기술 프리뷰 기능 지원 범위를 참조하십시오.
12.1. 시그스토어 소개
sigstore 프로젝트를 통해 개발자는 자신이 만든 것에 승인을 내리고, 관리자는 서명을 검증하고 대규모 워크플로를 모니터링할 수 있습니다. sigstore 프로젝트를 사용하면 서명을 빌드 이미지와 동일한 레지스트리에 저장할 수 있습니다. 두 번째 서버는 필요하지 않습니다. 서명의 신원 부분은 Fulcio 인증 기관을 통해 OpenID Connect(OIDC) 신원에 연결되며, 이를 통해 키 없는 서명이 가능해져 서명 프로세스가 간소화됩니다. 또한 sigstore에는 서명 메타데이터를 변경 불가능하고 변조 방지 원장에 기록하는 Rekor가 포함되어 있습니다.
ClusterImagePolicy 및 ImagePolicy 사용자 정의 리소스(CR) 객체를 사용하여 클러스터 또는 네임스페이스 범위에서 sigstore 지원을 활성화하고 구성할 수 있습니다. 이러한 객체는 검증할 이미지와 저장소를 지정하고 서명을 검증하는 방법을 지정합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}