Google dice que todas sus imágenes sin distribución (distroless) se han firmado con la herramienta de código abierto y que todos los usuarios pueden verificar fácilmente si están usando la imagen base que están buscando. Google dice que ha integrado Cosign en el sistema de CI distroless, transformando así la firma sin distribución en un paso más en el trabajo de Cloud Build responsable de la creación de imágenes.
Acorde al mensaje de la empresa, “este paso adicional utiliza la imagen del contenedor de firma conjunta y un par de claves almacenado en GCP KMS para firmar cada imagen sin distribución. Con este paso de firma adicional, los usuarios ahora pueden verificar que la imagen sin distribución que están ejecutando se creó en el entorno de CI correspondiente.”
Cosign puede ejecutarse como herramienta CLI o como imagen, y admite la propia infraestructura de clave pública (PKI), firma de hardware y KMS, la PKI de OIDC gratuita de Google (Fulcio) y un servicio integrado de transparencia binaria y marca de tiempo (Rekor).
Google planea agregar tecnologías sigstore adicionales a distroless en los próximos meses. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Ver fuente
