2 articles tagués avec « slsa »

Hier, je vous ai présenté comment utiliser cosign pour signer et vérifier vos images Docker. Par contre, j'avais désactivé le stockage des preuves de signature dans le serveur de transparence rekor publique. Aujourd'hui, je vous propose de voir comment avoir un serveur Rekor self-hosted. Attention au moment de l'écriture de ce billet cette fonctionnalité est au status Experimental.

Dans le billet précédent, j'avais introduit la notion de sécurisation de la chaine d'approvisionnement logiciel et surtout pourquoi il est important de la mettre en place. Ce billet parle d'une première solution permettant de signer des conteneurs OCI avec Cosign. L'objectif est d'intégrer ces outils dans une CI Gitlab.