第 12 章 使用 sigstore 管理安全签名
您可以在 OpenShift Container Platform 中使用 sigstore 来改进供应链安全性。
重要
sigstore 支持只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
12.1. 关于 sigstore 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
sigstore 项目使开发人员能够签署其构建,并管理员可大规模验证签名和监控工作流。使用 sigstore 项目,签名可以存储在与构建镜像相同的 registry 中。不需要第二个服务器。签名的身份部分通过 Fulcio 证书颁发机构与 OpenID Connect (OIDC) 身份关联,这通过允许无密钥签名来简化签名过程。另外,sigstore 包括 Rekor,它将签名元数据记录到不可变、篡改者中。
您可以使用 ClusterImagePolicy
和 ImagePolicy
自定义资源(CR)对象在集群或命名空间范围内启用和配置 sigstore 支持。这些对象指定要验证的镜像和存储库,以及如何验证签名。