objectif

Assurer l’authenticité des images conteneurs déployées.

code minimal

cosign generate-key-pair
cosign sign --key cosign.key registry.data.pm/app/api:1.2.3

utilisation

# vérifier
cosign verify --key cosign.pub registry.data.pm/app/api:1.2.3

variante(s) utile(s)

# keyless (OIDC), selon environnement
cosign sign registry.data.pm/app/api:1.2.3

notes

• stockez cosign.key de façon sûre; utilisez KMS si possible.
• combinez avec policy admission côté cluster/registry.