키 없는 서명 및 검증을 위한 Sigstore 사용

GitLab CI/CD에서 Sigstore와 Cosign을 사용하여 컨테이너 이미지 및 빌드 아티팩트에 키 없는 서명과 검증을 수행하는 방법을 설명합니다.

Sigstore 프로젝트는 GitLab CI/CD로 빌드된 컨테이너 이미지에 키 없는 서명을 수행하는 데 사용할 수 있는 Cosign 이라는 CLI를 제공합니다. 키 없는 서명은 개인 키를 관리, 보호, 교체할 필요성을 없애는 등 많은 장점이 있습니다. Cosign은 서명에 사용할 단기 키 쌍을 요청하고 이를 인증서 투명성 로그에 기록한 뒤 폐기합니다. 키는 파이프라인을 실행한 사용자의 OIDC ID를 사용하여 GitLab 서버에서 얻은 토큰을 통해 생성됩니다. 이 토큰에는 CI/CD 파이프라인에 의해 생성되었음을 증명하는 고유한 클레임이 포함되어 있습니다. 자세한 내용은 키 없는 서명에 관한 Cosign 문서 를 참조하십시오. GitLab OIDC 클레임과 Fulcio 인증서 확장 간의 매핑에 대한 자세한 내용은 OIDC 토큰 클레임을 Fulcio OID에 매핑 의 GitLab 열을 참조하십시오. 사전 요구 사항: GitLab.com을 사용해야 합니다. 프로젝트의 CI/CD 구성이