Assinatura de Imagem

Com o par de chaves criado, pode-se agora fazer a assinatura da imagem.

Neste exemplo será realizado todo o processo de criação da imagem, assinatura, subir para o repositório etc.

Construir e Publicar Imagem

Construir

A partir do projeto caótico será criada uma nova imagem:

$ docker build -t marcelodpbarbieri/imagem-assinada:v1 .

Sending build context to Docker daemon  92.16kB
Step 1/7 : FROM node:25.2.1-alpine3.22
 ---> 7a804d838046
Step 2/7 : WORKDIR /app
 ---> Using cache
 ---> 0234999bbbe8
Step 3/7 : COPY package*.json ./
 ---> Using cache
 ---> 89c635ab0791
Step 4/7 : RUN npm install
 ---> Using cache
 ---> d5bce1c535b9
Step 5/7 : COPY . .
 ---> Using cache
 ---> 94feb8da3045
Step 6/7 : EXPOSE 8080
 ---> Using cache
 ---> c559ff05c8fa
Step 7/7 : CMD ["node", "server.js"]
 ---> Using cache
 ---> c57094e7fbf0
Successfully built c57094e7fbf0
Successfully tagged marcelodpbarbieri/imagem-assinada:v1

Conferindo a imagem criada:

$ docker image ls | grep imagem-assinada
marcelodpbarbieri/imagem-assinada   v1   c57094e7fbf0   3 weeks ago     168MB

Publicar

Agora publica-se essa imagem no repositório:

$ docker image push marcelodpbarbieri/imagem-assinada:v1

The push refers to repository [docker.io/marcelodpbarbieri/imagem-assinada]
252c142ca67b: Mounted from marcelodpbarbieri/projeto-caotico
b4640f099a5a: Mounted from marcelodpbarbieri/projeto-caotico
280a7b0ef1b6: Mounted from marcelodpbarbieri/projeto-caotico
fb29f26fc894: Mounted from marcelodpbarbieri/projeto-caotico
b92ccfa22486: Mounted from marcelodpbarbieri/projeto-caotico
40e31b6248fe: Mounted from marcelodpbarbieri/projeto-caotico
748a71773258: Mounted from marcelodpbarbieri/projeto-caotico
256f393e029f: Mounted from marcelodpbarbieri/projeto-caotico
v1: digest: sha256:691259ec6be414d8157e558d25e4794fdcebafd2f4b030d28c050192574ceacb size: 1992

Verificação da imagem publicada:

Assinar e Verificar a Imagem

Assinar

Obter o DIGEST (hash único) da imagem:

DIGEST=$(docker inspect marcelodpbarbieri/imagem-assinada:v1 --format='{{index .RepoDigests 0}}')

echo $DIGEST
marcelodpbarbieri/imagem-assinada@sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85

Assinar pelo DIGEST:

cosign sign --key cosign.key \
  "docker.io/$DIGEST"

Observar que o DIGEST não trouxe o REGISTRY e por isso está sendo informado "docker.io"

Verificar

Verificar a image assinada:

cosign verify --key cosign.pub \
     "docker.io/$DIGEST"

Verification for index.docker.io/marcelodpbarbieri/imagem-assinada@sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85 --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - Existence of the claims in the transparency log was verified offline
  - The signatures were verified against the specified public key

[{"critical":{"identity":{"docker-reference":"index.docker.io/marcelodpbarbieri/imagem-assinada@sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"},"image":{"docker-manifest-digest":"sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"},"type":"https://sigstore.dev/cosign/sign/v1"},"optional":{}}]

[
    {
        "critical": {
            "identity": {
                "docker-reference": "index.docker.io/marcelodpbarbieri/imagem-assinada@sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"
            },
            "image": {
                "docker-manifest-digest": "sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"
            },
            "type": "https://sigstore.dev/cosign/sign/v1"
        },
        "optional": {
        }
    }
]

Verificar a publicação da imagem assinada:

Anotações

Na assinatura da imagem pode-se fazer e verificar anotações.

Assinatura da imagem:

DIGEST=$(docker inspect marcelodpbarbieri/imagem-assinada:v1 --format='{{index .RepoDigests 0}}')
cosign sign --key cosign.key \
    -a "proprietario=Marcelo Barbieri" \
    -a "email=marcelo@exemplo.com" \
    -a "data=$(date -I)"  \
    "docker.io/$DIGEST"

Verificação da imagem:

cosign verify --key cosign.pub "docker.io/$DIGEST"

Verification for index.docker.io/marcelodpbarbieri/imagem-assinada@sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85 --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - Existence of the claims in the transparency log was verified offline
  - The signatures were verified against the specified public key

[{"critical":{"identity":{"docker-reference":"index.docker.io/marcelodpbarbieri/imagem-assinada@sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"},"image":{"docker-manifest-digest":"sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"},"type":"https://sigstore.dev/cosign/sign/v1"},"optional":{"data":"2025-12-24","email":"marcelo@exemplo.com","proprietario":"Marcelo Barbieri"}}]

[
    {
        "critical": {
            "identity": {
                "docker-reference": "index.docker.io/marcelodpbarbieri/imagem-assinada@sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"
            },
            "image": {
                "docker-manifest-digest": "sha256:33c809027978b1316f76e2968d5e1ac22a1255489dd4fdc47a32b977651e9f85"
            },
            "type": "https://sigstore.dev/cosign/sign/v1"
        },
        "optional": {
            "data": "2025-12-24",
            "email": "marcelo@exemplo.com",
            "proprietario": "Marcelo Barbieri"
        }
    }
]

Variáveis de Ambiente

Assinatura

Na assinatura da imagem ao invés de informar a chave com --key pode-se exportar para variáveis de ambiente:

export COSIGN_KEY=$(cat cosign.key)

Para consultar nas variáveis de ambiente:

env

Ao assinar informa-se a variável de ambiente na chave:

DIGEST=$(docker inspect marcelodpbarbieri/imagem-assinada:v1 --format='{{index .RepoDigests 0}}')
cosign sign \
    --key env://COSIGN_KEY \
    -a "proprietario=Marcelo Barbieri" \
    -a "email=marcelo@exemplo.com" \
    -a "data=$(date -I)" \
    "docker.io/$DIGEST"

Verificação

Pode-se fazer o mesmo para a verificação:

export COSIGN_PUB=$(cat cosign.pub)

cosign verify --key env://COSIGN_PUB "docker.io/$DIGEST"

Simulação

Alteração no Código

Alterar o código do arquivo server.js, por exemplo, com a inclusão da linha console.log("Teste"); :

cat server.js
const express = require("express")

const app = express();
const PORT = process.env.PORT || 8080;

app.use(express.json());
app.use(express.static("public"));
app.set("view engine", "ejs");

app.get("/", (req, res) => {
    res.render("index");
});

console.log("Teste");

app.listen(PORT, () => console.log(`Aplicação em execução na porta ${PORT}`));

Reconstruir a imagem:

docker build -t marcelodpbarbieri/imagem-assinada:v1 .

Sending build context to Docker daemon  94.72kB
Step 1/7 : FROM node:25.2.1-alpine3.22
 ---> 7a804d838046
Step 2/7 : WORKDIR /app
 ---> Using cache
 ---> 0234999bbbe8
Step 3/7 : COPY package*.json ./
 ---> Using cache
 ---> 89c635ab0791
Step 4/7 : RUN npm install
 ---> Using cache
 ---> d5bce1c535b9
Step 5/7 : COPY . .
 ---> 7867c10bcb9e
Step 6/7 : EXPOSE 8080
 ---> Running in 52a0f14e8c7c
 ---> Removed intermediate container 52a0f14e8c7c
 ---> 1b2093541f93
Step 7/7 : CMD ["node", "server.js"]
 ---> Running in 8e3c5b89a909
 ---> Removed intermediate container 8e3c5b89a909
 ---> 77d9889711db
Successfully built 77d9889711db
Successfully tagged marcelodpbarbieri/imagem-assinada:v1

Subir a imagem reconstruída:

docker image push marcelodpbarbieri/imagem-assinada:v1

f11e56ff5b27: Pushed
b4640f099a5a: Layer already exists
280a7b0ef1b6: Layer already exists
fb29f26fc894: Layer already exists
b92ccfa22486: Layer already exists
40e31b6248fe: Layer already exists
748a71773258: Layer already exists
256f393e029f: Layer already exists
v1: digest: sha256:6c8ece810db3048edc8e3a1d41ee1cb84598d34aeb8d6d0e2350812424dc0762 size: 1992

No registry, observar que a assinatura é diferente:

Ao verificar a imagem, é obtida resposta de imagem não encontrada:

cosign verify --key cosign.pub marcelodpbarbieri/imagem-assinada:v1
Error: no signatures found
error during command execution: no signatures found

Todo este processo pode ser colocado na pipeline CI/CD para que a assinatura seja verificada, ou na admissão dentro do Kubernets etc.

PreviousPar de chaves NextIntrodução

Last updated 1 month ago

hashtagConstruir e Publicar Imagem

hashtagConstruir

hashtagPublicar

hashtagAssinar e Verificar a Imagem

hashtagAssinar

hashtagVerificar

hashtagAnotações

hashtagVariáveis de Ambiente

hashtagAssinatura

hashtagVerificação

hashtagSimulação

hashtagAlteração no Código