bitnami/cosign Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
bitnami/cosignbitnami
Bitnami提供的cosign安全镜像,用于容器镜像的签名与验证,保障软件供应链安全。
3 次收藏下载次数: 0状态:社区镜像维护者:bitnami仓库类型:镜像最近更新:19 天前
Bitnami Cosign 镜像文档
镜像概述和主要用途
Cosign 是一个支持容器签名、验证以及在 OCI 镜像仓库中存储签名的工具,采用 Go 语言开发,旨在使签名成为"隐形基础设施",简化软件供应链中的镜像完整性验证流程。Bitnami Cosign 镜像是基于 Bitnami Secure Images 计划构建的安全优化版本,适用于需要在开发和运维流程中集成容器签名验证能力的场景。
核心功能和特性
Cosign 核心功能
- 容器镜像签名与验证:支持对容器镜像进行数字签名,并在部署前验证签名有效性
- OCI 兼容性:签名数据存储于 OCI 镜像仓库,与现有容器生态无缝集成
- 多签名支持:支持多个签名者及签名策略管理
- 自动化友好:提供命令行工具,易于集成到 CI/CD 流程
Bitnami Secure Images 特性
- 安全优化:针对生产环境硬化,减少***面
- 漏洞透明:通过 VEX(漏洞可利用性交换)、KEV(已知被利用漏洞)和 EPSS 评分提供 CVE 风险透明度
- 最小化基础 OS:基于 Photon Linux,采用精简操作系统减少潜在漏洞
- 持续更新:上游补丁发布后数小时内完成镜像更新
- 跨格式一致性:容器、虚拟机和云镜像使用相同组件和配置,便于格式切换
- 合规元数据:提供 SLSA-3 合规的软件工厂生成的证明签名(Notation)、SBOM(软件物料清单)、病毒扫描报告等元数据
使用场景和适用范围
适用场景
- 开发环境验证:本地验证容器镜像签名有效性,确保使用可信镜像
- 软件供应链安全:在镜像分发流程中实施签名验证,防止***篡改
- CI/CD 集成:作为流水线步骤,自动对构建的镜像进行签名或对拉取的基础镜像进行验证
- 合规审计:生成和存储签名元数据,满足安全合规要求
适用人群
- 需要确保容器镜像完整性的开发团队
- 负责软件供应链安全的运维和安全团队
- 构建可信分发渠道的开源项目维护者
使用方法和配置说明
获取镜像
拉取最新版本
推荐从 Docker Hub 拉取预构建镜像:
consoledocker pull bitnami/cosign:latest
指定版本拉取
如需使用特定版本,可指定标签(注意:2025年8月28日后非最新标签将迁移至 bitnamilegacy 仓库):
consoledocker pull bitnami/cosign:[TAG]
标签列表可在 Docker Hub 查看
基本使用
快速启动
运行 Cosign 命令行工具(交互式模式):
consoledocker run -it --name cosign bitnami/cosign
执行具体命令
直接运行 Cosign 命令(如查看帮助):
consoledocker run --rm bitnami/cosign --help
签名示例(OCI 镜像)
对本地镜像进行签名并推送到仓库:
consoledocker run --rm -v /var/run/docker.sock:/var/run/docker.sock bitnami/cosign sign --key <私钥路径> <镜像名>:<标签>
验证示例
验证镜像签名:
consoledocker run --rm bitnami/cosign verify --key <公钥路径> <镜像名>:<标签>
维护与升级
升级镜像
-
拉取最新镜像:
consoledocker pull bitnami/cosign:latest -
停止并移除当前容器:
consoledocker rm -v cosign -
使用新镜像重新启动:
consoledocker run --name cosign bitnami/cosign:latest
配置说明
FIPS 模式配置
Bitnami Cosign 镜像支持通过环境变量启用 FIPS(联邦信息处理标准)模式:
OPENSSL_FIPS:控制 OpenSSL 是否运行在 FIPS 模式
取值:yes(默认,启用 FIPS)、no(禁用 FIPS)
示例(禁用 FIPS 模式):
consoledocker run --rm -e OPENSSL_FIPS=no bitnami/cosign --version
重要变更通知
2025年8月28日起 Bitnami 镜像目录调整
Bitnami 将升级公共目录以提供硬化安全镜像(Bitnami Secure Images),具体变更包括:
- 非硬化镜像逐步淘汰:Debian 基础的非硬化镜像将从免费 tier 中弃用,逐步移除非最新标签
- 标签迁移:所有现有容器镜像(包括版本化标签,如
2.50.0、10.6)将迁移至bitnamilegacy仓库(docker.io/bitnamilegacy),且不再接收更新 - 免费 tier 限制:社区用户仅可访问部分硬化镜像,且仅提供
latest标签,适用于开发目的 - 生产环境建议:生产工作负载需使用 Bitnami Secure Images,包含硬化容器、CVE 透明度、企业支持等特性
详情参见 Bitnami Secure Images 公告
其他信息
标签政策
Bitnami 镜像标签分为滚动标签(如 latest)和不可变标签(如特定版本号)。2025年8月28日后,免费 tier 仅保留 latest 标签。标签对应关系可通过分支目录下的 tags-info.yaml 文件查看(路径格式:bitnami/ASSET/BRANCH/DISTRO/tags-info.yaml)。
贡献
可通过 bitnami/containers GitHub 仓库 提交 issue 或 PR 参与贡献。
问题反馈
如运行容器时遇到问题,可通过 GitHub Issue 提交,建议填写完整的 issue 模板以获得更好支持。
许可证
Copyright © 2025 Broadcom。根据 Apache License 2.0 许可,详情参见 许可证文本。
商标说明:本软件列表由 Bitnami 打包,所提及的商标分属各自公司所有,使用不意味着附属或背书关系。
chainguard/cosign
chainguard
使用Chainguard的低至零CVE容器镜像构建、交付和运行安全软件。
5万+ 次下载
14 天前更新
cleanstart/cosign
cleanstart
Cosign是一个容器签名、验证和存储解决方案,基于CleanStart最小化安全加固基础OS构建,支持加密签名验证、HSM集成和OCI注册表,旨在简化供应链安全,保障软件供应链完整性和安全部署。
1万+ 次下载
14 天前更新
jitesoft/cosign
jitesoft
基于Alpine Linux的Cosign镜像,用于签名、验证和在OCI注册表中存储容器签名,用户为cosign/cosign(uid/gid 1000)。
1万+ 次下载
23 天前更新
oowy/cosign
oowy
暂无描述
1万+ 次下载
5 个月前更新
bitnamilegacy/cosign
bitnamilegacy
Bitnami旧版镜像(不再更新),包含所有现有容器镜像的备份,仅用于临时迁移目的,不提供进一步更新或支持。
1万+ 次下载
6 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"