ASSINANDO Imagens de CONTAINER com COSIGN: Um Guia Passo a Passo!
Descubra como elevar a segurança do seu pipeline de DevOps assinando imagens de containers com Cosign neste tutorial detalhado. Aprenda o passo a passo para instalar o Cosign, gerar uma chave privada, assinar e verificar imagens de contêine.
Site da LINUXtips: linuxtips.io
Através deste vídeo, você terá uma compreensão clara de como a assinatura de imagens de container pode proteger seu ambiente de TI contra código malicioso e garantir a integridade do software em cada etapa da cadeia de suprimentos.
Com exemplos práticos e dicas úteis, este vídeo é um recurso essencial para profissionais de DevOps e de segurança que desejam implementar as melhores práticas de segurança em seus fluxos de trabalho de container.
Cosign, Segurança DevOps, Assinatura de Imagem de Container, Verificação de Assinatura, Integridade de Software, Pipeline CI/CD, Chave Privada, Chave Pública, Registro de Container Seguro, Gerenciamento de Imagem de Container, Docker, Kubernetes, Segurança de Container, Práticas de Segurança de Container, Automatização de Segurança, Conformidade de Segurança, Ataque de Cadeia de Suprimentos, Prevenção de Código Malicioso, Auditoria de Imagem de Container, Melhores Práticas de Segurança de Container, Segurança DevOps.
by LINUXtips
linux foundation
so crio imagenes para estudo.. ainda noa teve a oportunidade de ter um trampo com essas actividades… mas com certexza ire aplicar essa asignatura.
Caso a imagenes sejam criadas por algum producto CI/Cd se consegue asignar, é integrado?
Grato de mais !!!!
Toper
Muito top Jeff, essa parte de sec é cada vez mais importante para toda a cadeia de produção. Obrigado pelo compartilhamento de conhecimento novamente.
Uma pergunta, como você gerencia as chaves publicas depois de geradas? e o conteúdo sempre muito preciso e direto.
Que da hora e fácil demais. Um dia irei trabalhar em uma empresa com pessoas como o Jeff, que incentiva a gente que está começando. 😍
aprendi antes no treinamentoo 👀
Uma duvida: qual a melhor forma de armazenar q chave privada no contexto de um pipeline?
Kd as Cervejas?
Não utilizo imagens fora do ambiente de desenvolvimento, mas vim pra conhecer e estudar as ideias.
Mas me surgiu uma duvida e que talvez seja por desconhecimento, mas como podemos garantir que a chave publica esta sendo compartilhada de maneira segura sem risco de troca na hora de acessar para verificar a assinatura da imagem?
#VAIII
Maravilhoso vídeo de aimeudeus
Estou pra implantar o Cosign na minha esteira, já esta praticamente tudo pronto, porem estou pra estudar sobre o que vai ser compartilhado com a Sigstore.
Poderia detalhar mais sobre o que vai ser compartilhado com a Sigstore? por que por exemplo, eu não posso deixar que o conteudo do meu container seja compartilhado com nenhum lugar fora da empresa etc. Se alguem ai dos comentarios manjar também, agradeço qualquer ajuda (:
"mais um doidinho de bairro".
Mais real impossível.
Como sempre só conteúdo de qualidade meu patrão
Mandou muito! No caso esse Cosign nesse processo de assinatura da imagem, ele faz alguma especie de varredura no código e da a garantia de que a imagem é confiavel. E tbm nos da a garantia da imagem certa devido a chave publica. É isso ? Obrigado pelo o conteúdo.
MUITO BOMM
Eu não assinava nada… mas agora vou…(eventualmente começarei)
VAAAIIII!!!!
Coisa linda, vamos assinar tudo !
E como estão as imagens de container ae na sua firma? 😀