Sigstore를 사용한 키 없는 서명 및 검증

GitLab CI/CD에서 Sigstore와 Cosign을 사용하여 컨테이너 이미지와 빌드 아티팩트에 키 없는 서명 및 검증을 수행하는 방법을 알아보세요.

Sigstore 프로젝트는 GitLab CI/CD로 빌드된 컨테이너 이미지에 키 없는 서명을 사용할 수 있는 Cosign 이라는 CLI를 제공합니다. 키 없는 서명은 개인 키를 관리, 보호 및 교체할 필요가 없다는 점을 포함하여 많은 이점이 있습니다. Cosign은 서명에 사용할 단기 키 쌍을 요청하고, 인증서 투명성 로그에 기록한 다음 폐기합니다. 키는 파이프라인을 실행한 사용자의 OIDC 신원을 사용하여 GitLab 서버에서 얻은 토큰을 통해 생성됩니다. 이 토큰에는 토큰이 CI/CD 파이프라인에 의해 생성되었음을 인증하는 고유한 클레임이 포함됩니다. 자세한 내용은 키 없는 서명에 대한 Cosign 문서 를 참조하세요. GitLab OIDC 클레임과 Fulcio 인증서 확장 간의 매핑에 대한 자세한 내용은 OIDC 토큰 클레임을 Fulcio OID에 매핑하기 의 GitLab 열을 참조하세요. 전제 조건: GitLab.com을 사용해야 합니다. 프로젝트의 CI/CD 구성이 프로젝트