Docker 镜像签名与供应链安全实践

概览与核心价值供应链安全强调构件的可信与可审计。Cosign 提供镜像签名与验证能力，结合透明日志与附加元数据，有助于提升交付可信度。签名与验证环境：`cosign v2.x`、`Docker` 或 `containerd`。示例仓库：`ghcr.io/company/app:1.0.0`。cosign sign --keyless ghcr.io/company/app:1.0.0 cosign verify --keyless ghcr.io/company/app:1.0.0 可选：为镜像附加 SBOM 或元数据（示例以注释信息）cosign attach attestation --predicate metadata.json ghcr.io/company/app:1.0.0 cosign verify-attestation ghcr.io/company/app:1.0.0 --type slsaprovenance 参数与验证验证点：签名成功并记录透明日志，可在验证输出中看到签名主体与 Rekor 索引验证通过后可在部署阶段进行准入控制（集成策略引擎）附加元数据能够与镜像一同分发并被校验最佳实践使用 keyless 与组织 OIDC 进行身份绑定在 CI 中进行签名与验证，阻止未签名或来源不明的镜像结合 SBOM 与安全扫描，构建完整的供应链防护结论Cosign 为镜像提供轻量且可审计的签名与验证能力，适合集成到 CI/CD 与策略管控中，提升供应链安全水平。