8.4. 使用公钥验证 sigstore 镜像签名

流程

1. 在 /etc/containers/registries.d/default.yaml 文件中添加以下内容：

   docker:
       <registry>:
           use-sigstore-attachments: true

   Copy to Clipboard Toggle word wrap

   通过设置 use-sigstore-attachments 选项，Podman 和 Skopeo 可以将容器 sigstore 签名与镜像一起读写，并将它们保存在与签名镜像相同的存储库中。

   注意

   您可以在 /etc/containers/registries.d/default.yaml 文件中编辑系统范围的注册中心配置。您还可以编辑 /etc/containers/registries.d 目录中的注册中心或任何 YAML 文件中的注册中心配置部分。所有 YAML 文件都可读，文件名可以是任意的。单个范围(default-docker、注册中心或命名空间)只能存在于 /etc/containers/registries.d 目录中的一个文件中。

2. 编辑 /etc/containers/policy.json 文件以强制 sigstore 签名存在：

   ...
   "transports": {
               "docker": {
                   "<registry>/<namespace>": [
                       {
                           "type": "sigstoreSigned",
                           "keyPath": "/some/path/to/cosign.pub"
                       }
                   ]
               }
           }
   ...

   Copy to Clipboard Toggle word wrap

   通过修改 /etc/containers/policy.json 配置文件，您可以更改信任策略配置。Podman、Buildah 和 Skopeo 强制容器镜像签名的存在。

3. 拉取镜像：

   $ podman pull <registry>/<namespace>/<image>

   Copy to Clipboard Toggle word wrap