Cosign 给出错误签名 ECR 图像。使用 git_ref 使用 github 存储库证书进行无密钥签名

问题描述 投票:0回答:2

我在使用 cosign 签署图像时遇到以下错误,它曾经有效,但似乎不再有效。我使用无密钥模式对这些图像进行签名,但出现错误,看起来 fulcio 使用的私钥/公钥现在无法使用。

getting signer: getting key from Fulcio: getting CTFE public keys: updating local metadata and targets: error updating to TUF remote mirror: invalid key
remote status:{
    "mirror": "https://sigstore-tuf-root.storage.googleapis.com",
    "metadata": {
        "root.json": {
            "version": 9,
            "len": 6766,
            "expiration": "12 Sep 24 06:53 UTC",
            "error": ""
        },
        "snapshot.json": {
            "version": 132,
            "len": 2302,
            "expiration": "09 Apr 24 16:16 UTC",
            "error": ""
        },
        "targets.json": {
            "version": 9,
            "len": 5478,
            "expiration": "12 Sep 24 06:13 UTC",
            "error": ""
        },
        "timestamp.json": {
            "version": 169,
            "len": 723,
            "expiration": "26 Mar 24 16:16 UTC",
            "error": ""
        }
    }
}
digital-signature cosign-api
2个回答
4
投票

我也遇到同样的错误。 您可以使用以下 cosign 配置修复它

uses: sigstore/[email protected]
with:
  cosign-release: 'v2.2.2' # optional
0
投票

最好参考 Cosign GH 页面,我通常参考这个,https://github.com/sigstore/cosign-installer

您还可以在那里找到示例工作流程。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.