OCIイメージ署名

Sigstoreを使用してSUSE Rancherアプリケーションコレクションのイメージを検証する

SUSE Rancherアプリケーションコレクションは、すべてのアプリケーションがSigstoreによって署名されたOCIベースのレジストリを使用しています。ユーザーは、SUSE® SecurityのSigstore Verifiersを使用してアプリケーションコレクション内のアプリを検証できます。

事前にSUSE Rancherアプリケーションコレクションからcosign公開鍵を取得する必要があります。その後、SUSE® SecurityでSigstore Verifiersを設定できます。

Sigstore Verifierを追加

SUSE Rancherアプリケーションコレクション内のイメージに対してSigstore検証を設定するための手順は次のとおりです。

  1. 認証ガイドに従ってアクセストークンを作成します:

    https://docs.apps.rancher.io/get-started/authentication/

  2. 署名検証ガイドに従ってCosign公開鍵(ap-pubkey.pem)を取得します:

    https://docs.apps.rancher.io/howto-guides/verify-signatures-with-cosign/

  3. SUSE® SecurityのWeb UIで、Sigstoreの信頼のルートを作成します。

    • Assets > *Sigstore Verifiers*に移動します。

    • 新しい Sigstore Verifier を作成します。

    • Cosign公開鍵をキー・ペア Sigstore Verifier として追加します。

  4. レジストリを設定し、スキャンを開始します。

    • Assets > *Registries*に移動します。

    • 次の値を使用して新しいレジストリを作成します:

      Registry: https://dp.apps.rancher.io/
Filter: containers/openjdk:21.0.4-build7
Username: <your SUSE username>
Password: <access token created earlier>

    フィルタリングされたイメージは、SUSE Rancherアプリケーションコレクションに公開されたOCIイメージです。

  5. 署名検証が正しく行われたかどうかを確認するため、スキャン結果を確認します。

Sigstore Verifierスキャン結果

スキャンが完了すると、SUSE® Securityはスキャン結果に Sigstore Verifier の詳細を表示し、イメージ署名が正常に検証されたことを確認します。