CNG 이미지 무결성 검증

cosign을 사용하여 CNG 이미지의 서명을 검증하고 무결성을 확인하는 방법을 설명합니다.

CNG 이미지가 레지스트리에 푸시된 후 변조되지 않았음을 보장하기 위해, 이미지의 다이제스트는 cosign 을 사용하여 서명됩니다. cosign 은 ECDSA-P256 키와 SHA256 해시를 사용하며, 키는 PEM으로 인코딩된 PKCS8 형식으로 저장됩니다. 아래에 설명된 대로 cosign verify 명령을 사용하여 이 다이제스트를 검증할 수 있습니다: Note 이미지는 개인 키를 사용하여 서명되며 해당 공개 키를 사용하여 로컬에서만 검증할 수 있습니다. GitLab.com OIDC 공급자를 통한 키 없는(keyless) 서명/검증으로의 전환은 이슈 638 에서 논의 중입니다. https://charts.gitlab.io/cosign.pub 에서 서명에 사용된 공개 키를 다운로드합니다: wget https://charts.gitlab.io/cosign.pub CNG 이미지를 검증합니다: $ cosign verify --key cosign.pub registry.gitlab.com