Assinatura de imagem OCI

Verifique as imagens da Coleção de Aplicativos SUSE Rancher com o Sigstore

A Coleção de Aplicativos SUSE Rancher utiliza um registro baseado em OCI onde todos os aplicativos são assinados pelo Sigstore. Os usuários podem verificar os aplicativos na Coleção de Aplicativos com os Verificadores Sigstore em SUSE® Security.

Você precisa da chave pública do Cosign da Coleção de Aplicativos SUSE Rancher com antecedência, então os Verificadores Sigstore podem ser configurados em SUSE® Security.

Adicionar Verificador Sigstore

Siga estas etapas para configurar a verificação do Sigstore para imagens na Coleção de Aplicativos SUSE Rancher.

  1. Crie um token de acesso seguindo o guia de autenticação:

    https://docs.apps.rancher.io/get-started/authentication/

  2. Recupere a chave pública do Cosign (ap-pubkey.pem) seguindo o guia de verificação de assinatura:

    https://docs.apps.rancher.io/howto-guides/verify-signatures-with-cosign/

  3. Na interface web SUSE® Security, crie uma raiz de confiança do Sigstore.

    • Vá para Ativos > Verificadores Sigstore.

    • Crie um novo verificador.

    • Adicione a chave pública do Cosign como um verificador de par de chaves.

  4. Configure o registro e inicie uma varredura.

    • Vá para Ativos > Registros.

    • Crie um novo registro com os seguintes valores:

      Registry: https://dp.apps.rancher.io/
Filter: containers/openjdk:21.0.4-build7
Username: <your SUSE username>
Password: <access token created earlier>

    A imagem filtrada é uma imagem OCI publicada na Coleção de Aplicativos SUSE Rancher.

  5. Revise os resultados da varredura para confirmar a verificação da assinatura.

Resultado da Varredura do Verificador

Após a conclusão da verificação, SUSE® Security exibe os detalhes do verificador Sigstore nos resultados da verificação, confirmando que a assinatura da imagem foi validada com sucesso.