Bitnami Cosign 镜像文档

镜像概述和主要用途

Cosign 是一个支持容器签名、验证以及在 OCI 镜像仓库中存储签名的工具，采用 Go 语言开发，旨在使签名成为"隐形基础设施"，简化软件供应链中的镜像完整性验证流程。Bitnami Cosign 镜像是基于 Bitnami Secure Images 计划构建的安全优化版本，适用于需要在开发和运维流程中集成容器签名验证能力的场景。

核心功能和特性

Cosign 核心功能

• 容器镜像签名与验证：支持对容器镜像进行数字签名，并在部署前验证签名有效性
• OCI 兼容性：签名数据存储于 OCI 镜像仓库，与现有容器生态无缝集成
• 多签名支持：支持多个签名者及签名策略管理
• 自动化友好：提供命令行工具，易于集成到 CI/CD 流程

Bitnami Secure Images 特性

• 安全优化：针对生产环境硬化，减少***面
• 漏洞透明：通过 VEX（漏洞可利用性交换）、KEV（已知被利用漏洞）和 EPSS 评分提供 CVE 风险透明度
• 最小化基础 OS：基于 Photon Linux，采用精简操作系统减少潜在漏洞
• 持续更新：上游补丁发布后数小时内完成镜像更新
• 跨格式一致性：容器、虚拟机和云镜像使用相同组件和配置，便于格式切换
• 合规元数据：提供 SLSA-3 合规的软件工厂生成的证明签名（Notation）、SBOM（软件物料清单）、病毒扫描报告等元数据

使用场景和适用范围

适用场景

• 开发环境验证：本地验证容器镜像签名有效性，确保使用可信镜像
• 软件供应链安全：在镜像分发流程中实施签名验证，防止***篡改
• CI/CD 集成：作为流水线步骤，自动对构建的镜像进行签名或对拉取的基础镜像进行验证
• 合规审计：生成和存储签名元数据，满足安全合规要求

适用人群

• 需要确保容器镜像完整性的开发团队
• 负责软件供应链安全的运维和安全团队
• 构建可信分发渠道的开源项目维护者

使用方法和配置说明

获取镜像

拉取最新版本

推荐从 Docker Hub 拉取预构建镜像：

console
docker pull bitnami/cosign:latest

指定版本拉取

如需使用特定版本，可指定标签（注意：2025年8月28日后非最新标签将迁移至 bitnamilegacy 仓库）：

console
docker pull bitnami/cosign:[TAG]

标签列表可在 Docker Hub 查看

基本使用

快速启动

运行 Cosign 命令行工具（交互式模式）：

console
docker run -it --name cosign bitnami/cosign

执行具体命令

直接运行 Cosign 命令（如查看帮助）：

console
docker run --rm bitnami/cosign --help

签名示例（OCI 镜像）

对本地镜像进行签名并推送到仓库：

console
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock bitnami/cosign sign --key <私钥路径> <镜像名>:<标签>

验证示例

验证镜像签名：

console
docker run --rm bitnami/cosign verify --key <公钥路径> <镜像名>:<标签>

维护与升级

升级镜像

1. 拉取最新镜像：

   console
   docker pull bitnami/cosign:latest
   

2. 停止并移除当前容器：

   console
   docker rm -v cosign
   

3. 使用新镜像重新启动：

   console
   docker run --name cosign bitnami/cosign:latest
   

配置说明

FIPS 模式配置

Bitnami Cosign 镜像支持通过环境变量启用 FIPS（联邦信息处理标准）模式：

• OPENSSL_FIPS：控制 OpenSSL 是否运行在 FIPS 模式
  取值：yes（默认，启用 FIPS）、no（禁用 FIPS）

示例（禁用 FIPS 模式）：

console
docker run --rm -e OPENSSL_FIPS=no bitnami/cosign --version

重要变更通知

2025年8月28日起 Bitnami 镜像目录调整

Bitnami 将升级公共目录以提供硬化安全镜像（Bitnami Secure Images），具体变更包括：

• 非硬化镜像逐步淘汰：Debian 基础的非硬化镜像将从免费 tier 中弃用，逐步移除非最新标签
• 标签迁移：所有现有容器镜像（包括版本化标签，如 2.50.0、10.6）将迁移至 bitnamilegacy 仓库（docker.io/bitnamilegacy），且不再接收更新
• 免费 tier 限制：社区用户仅可访问部分硬化镜像，且仅提供 latest 标签，适用于开发目的
• 生产环境建议：生产工作负载需使用 Bitnami Secure Images，包含硬化容器、CVE 透明度、企业支持等特性

详情参见 Bitnami Secure Images 公告

其他信息

标签政策

Bitnami 镜像标签分为滚动标签（如 latest）和不可变标签（如特定版本号）。2025年8月28日后，免费 tier 仅保留 latest 标签。标签对应关系可通过分支目录下的 tags-info.yaml 文件查看（路径格式：bitnami/ASSET/BRANCH/DISTRO/tags-info.yaml）。

贡献

可通过 bitnami/containers GitHub 仓库 提交 issue 或 PR 参与贡献。

问题反馈

如运行容器时遇到问题，可通过 GitHub Issue 提交，建议填写完整的 issue 模板以获得更好支持。

许可证

Copyright © 2025 Broadcom。根据 Apache License 2.0 许可，详情参见 许可证文本。

商标说明：本软件列表由 Bitnami 打包，所提及的商标分属各自公司所有，使用不意味着附属或背书关系。