J’ai de nombreuses images Docker à maintenir (principalement des projets personnels) mais je n’ai aucun moyen de vérifier l’authenticité de mes images. Pour ajouter une couche de sécurité supplémentaire, j’ai décidé de réaliser une preuve de concept de l’utilisation de Cosign.
Il existe de nombreuses alternatives, mais certaines nécessitent la maintenance d’un serveur de gestion de clés ou sont tout simplement moins populaires que Cosign.
Dépendances# Cosign (v2.4.0) Docker (v24.0.5) Générer une signature cosign# Construisez votre image Docker.