Signature d’image pour l’image OCI

Vérifiez les images de la collection d’applications SUSE Rancher avec Sigstore

La collection d’applications SUSE Rancher utilise un registre basé sur OCI où toutes les applications sont signées par Sigstore. Les utilisateurs peuvent vérifier les applications de la collection d’applications avec les vérificateurs Sigstore dans SUSE® Security.

Vous devez d’abord obtenir la clé publique cosign de la collection d’applications SUSE Rancher, puis les vérificateurs Sigstore peuvent être configurés dans SUSE® Security.

Ajouter un vérificateur Sigstore

Suivez ces étapes pour configurer la vérification Sigstore pour les images dans la collection d’applications SUSE Rancher.

  1. Créez un jeton d’accès en suivant le guide d’authentification :

    https://docs.apps.rancher.io/get-started/authentication/

  2. Récupérez la clé publique Cosign (ap-pubkey.pem) en suivant le guide de vérification de la signature :

    https://docs.apps.rancher.io/howto-guides/verify-signatures-with-cosign/

  3. Dans l’interface web SUSE® Security, créez une racine de confiance Sigstore.

    • Allez à Assets > Vérificateurs Sigstore.

    • Créez un nouveau vérificateur.

    • Ajoutez la clé publique Cosign en tant que vérificateur de paire de clés.

  4. Configurez le registre et lancez une analyse.

    • Allez à Assets > Registres.

    • Créez un nouveau registre avec les valeurs suivantes :

      Registry: https://dp.apps.rancher.io/
Filter: containers/openjdk:21.0.4-build7
Username: <your SUSE username>
Password: <access token created earlier>

    L’image filtrée est une image OCI publiée dans la collection d’applications SUSE Rancher.

  5. Examinez les résultats de l’analyse pour confirmer la vérification de la signature.

Résultat de l’analyse du vérificateur

Une fois le scan terminé, SUSE® Security affiche les détails du vérificateur Sigstore dans les résultats du scan, confirmant que la signature de l’image a été validée avec succès.