Cosign 实战：构建可信容器镜像的签名与验证体系

在现代软件开发中，容器技术已成为主流，而容器镜像的安全性也日益受到关注。如何确保镜像的来源可信、内容未被篡改，是软件供应链安全中的关键问题。本文将介绍一个专为容器镜像签名而生的工具 —— Cosign，它是 Sigstore 项目的一部分，致力于提升软件供应链的安全性。

一、什么是 Cosign？

Cosign 是由 Sigstore 社区推出的开源工具，旨在为容器镜像等软件制品提供签名与验证功能。它支持使用传统密钥对签名，也支持无密钥（keyless）签名方式，极大地简化了签名流程并提升了安全性。

Sigstore 的核心理念是：让每一次软件发布都可验证、可审计、可信任。Cosign 正是这一理念的具体实现之一。

官网地址：https://docs.sigstore.dev/

二、Cosign 的核心功能

Cosign 支持以下功能：

• 生成签名密钥对（keypair）

• 使用私钥对 Docker 镜像进行签名

• 使用公钥验证镜像签名

• 支持无密钥签名方式（通过 OIDC 身份认证）

• 将签名信息记录在公开的不可篡改日志中

• 支持与 AWS KMS、GCP KMS、Azure Key Vault 等密钥管理平台集成

三、Cosign 安装方法

Cosign 提供了多平台支持，以下是在 Windows 和 Ubuntu 系统上的安装方式：

Ubuntu 安装方式

适用于 Ubuntu/Debian 系统：

wget "https://github.com/sigstore/cosign/releases/download/v1.6.0/cosign_1.6.0_amd64.deb"
sudo dpkg -i cosign_1.6.0_amd64.deb

安装完成后，使用以下命令验证：

cosign version

Windows 安装方式

Windows 用户可以通过以下方式安装 Cosign：

1. 访问 Cosign Releases 页面

2. 下载适用于 Windows 的 .exe 文件（例如：cosign-windows-amd64.exe）

3. 将文件重命名为 cosign.exe 并添加到系统环境变量 PATH 中

4. 在命令行中运行：

cosign version

如果显示版本信息，则安装成功。

四、Cosign 的两种签名模式

Cosign 提供两种签名模式：密钥模式（key mode） 和 无密钥模式（keyless mode）。

1. 密钥模式（Key Mode）

这种模式需要用户自行生成密钥对，并使用私钥进行签名，公钥用于验证。

使用步骤如下

① 生成密钥对

cosign generate-key-pair

生成后会得到 cosign.key（私钥）和 cosign.pub（公钥）文件。

② 使用私钥签名镜像

例如：

cosign sign --key cosign.key nginx

③ 使用公钥验证签名

cosign verify --key cosign.pub nginx

验证成功说明镜像未被篡改，且来源可信。

密钥的管理

密钥管理往往是最复杂、最容易出错的环节。Cosign 在这方面提供了灵活且安全的解决方案，支持本地密钥、无密钥签名以及与主流云平台的密钥托管集成。这里推荐托管到主流云平台处理或者使用无密钥模式。

Cosign 支持将密钥托管在多个云平台的密钥管理服务中，提升密钥的安全性和可审计性：

• AWS KMS

• GCP KMS

• Azure Key Vault

• Hashicorp Vault

• Kubernetes Secrets

通过这些平台，企业可以实现：

• 密钥生命周期管理

• 权限控制与审计

• 与 CI/CD 流程集成

• 自动化签名与验证

2. 无密钥模式（Keyless Mode）

这是 Cosign 的亮点之一。用户无需管理密钥，只需通过 OIDC（如 GitHub、Google 等）进行身份认证即可完成签名。

步骤如下：

① 使用 OIDC 账户签名镜像

cosign sign <image-name>

执行后会弹出一个 URL，用户需在浏览器中登录支持的身份认证平台（如 GitHub），完成认证流程。

② 验证签名

cosign verify \--certificate-identity=name@example.com \--certificate-oidcissuer=https://accounts.example.com

这种方式的优势在于：

• 无需管理密钥

• 签名信息自动记录在 Sigstore 的公开日志中

• 支持身份绑定，提升信任度

五、签名验证失败的常见原因

• 镜像内容被修改

• 使用了错误的密钥或身份信息

• 镜像未被签名

建议在签名后立即验证，并确保签名信息未丢失。

六、Cosign 在软件供应链安全中的价值

在软件供应链攻击频发的今天，Cosign 提供了一种简单而强大的方式来确保容器镜像的可信性。它不仅适用于开发者个人，也适用于企业级 DevSecOps 流程。

通过将签名信息记录在公开日志中，Cosign 实现了签名事件的可审计性；通过无密钥签名方式，降低了密钥管理的复杂性；通过与云平台集成，提升了企业级安全能力。

七、结语

Cosign 是 Sigstore 项目中的一颗明珠，它让容器镜像签名变得简单、安全、可审计。无论你是个人开发者，还是企业 DevOps 工程师，都可以通过 Cosign 为你的软件供应链安全加上一道坚固的防线。

如果你还未尝试过 Cosign，不妨现在就动手试试吧！