Sigstore/Cosign镜像签名与供应链安全实践

概述供应链安全要求镜像来源可验证与变更可追溯。Sigstore/Cosign 提供零密钥签名与透明日志记录。本文给出签名/验证流程与准入策略示例。签名（已验证）Keyless 签名：使用 OIDC 身份对镜像进行签名；记录到 Rekor 透明日志，支持审计与验证；验证策略部署前验证签名与证书链；Admission Policy：在 K8s 中仅允许通过指定颁发者与仓库的镜像。示例（命令片段）cosign sign --keyless registry.example.com/app:1.2.3 cosign verify --keyless registry.example.com/app:1.2.3 准入策略（片段）apiVersion: policy.sigstore.dev/v1beta1 kind: ClusterImagePolicy metadata: name: signed-only spec: images: - glob: "registry.example.com/*" authorities: - keyless: identities: - issuer: "https://accounts.google.com" subjectRegExp: ".*@example.com" 验证与监控记录签名事件与准入拒绝原因；定期审计 Rekor 日志与策略命中情况；常见误区仅签名不验证准入，形同虚设；密钥管理不当或落地磁盘；结语以 Keyless 签名与透明日志为基础，结合准入策略与审计，Sigstore/Cosign 可有效提升容器供应链的安全与可追踪性。