我在使用 cosign 签署图像时遇到以下错误,它曾经有效,但似乎不再有效。我使用无密钥模式对这些图像进行签名,但出现错误,看起来 fulcio 使用的私钥/公钥现在无法使用。
getting signer: getting key from Fulcio: getting CTFE public keys: updating local metadata and targets: error updating to TUF remote mirror: invalid key
remote status:{
"mirror": "https://sigstore-tuf-root.storage.googleapis.com",
"metadata": {
"root.json": {
"version": 9,
"len": 6766,
"expiration": "12 Sep 24 06:53 UTC",
"error": ""
},
"snapshot.json": {
"version": 132,
"len": 2302,
"expiration": "09 Apr 24 16:16 UTC",
"error": ""
},
"targets.json": {
"version": 9,
"len": 5478,
"expiration": "12 Sep 24 06:13 UTC",
"error": ""
},
"timestamp.json": {
"version": 169,
"len": 723,
"expiration": "26 Mar 24 16:16 UTC",
"error": ""
}
}
}
我也遇到同样的错误。 您可以使用以下 cosign 配置修复它
uses: sigstore/[email protected]
with:
cosign-release: 'v2.2.2' # optional
最好参考 Cosign GH 页面,我通常参考这个,https://github.com/sigstore/cosign-installer
您还可以在那里找到示例工作流程。