Cosign签名复制过程中Rekor Bundle丢失问题分析

在容器镜像签名管理领域，Sigstore的Cosign工具被广泛用于数字签名操作。近期发现一个值得注意的技术问题：当用户尝试跨镜像仓库复制签名时，Rekor透明度日志的Bundle数据未能正确保留。

问题现象

用户在执行签名迁移操作时，按照标准流程：

1. 从源仓库下载原始签名文件
2. 解析出签名各组件（payload、signature、cert、bundle.json等）
3. 使用attach命令将签名附加到目标镜像
4. 最终发现生成的签名中Bundle字段为null

技术背景

Cosign的签名机制包含多个关键部分：

• Payload：包含镜像摘要等核心信息的JSON数据
• Base64Signature：实际的加密签名数据
• Bundle：来自Rekor透明度日志的验证凭证，包含时间戳和日志索引等重要信息

在完整性验证时，Bundle数据对于建立信任链至关重要，它能证明签名是在特定时间被记录到公共日志中。

问题根源

通过分析发现，当使用cosign attach signature命令时，虽然命令行支持--rekor-response参数用于指定Bundle文件，但实际执行过程中该参数未被正确处理，导致Bundle信息丢失。这属于功能实现不完整的典型情况。

影响范围

该问题影响以下使用场景：

• 跨仓库的签名迁移操作
• 需要保留完整审计线索的合规场景
• 依赖Rekor日志进行验证的自动化流程

解决方案建议

对于遇到此问题的用户，目前可采取的临时方案：

1. 手动维护Bundle文件作为独立验证材料
2. 等待官方修复版本发布后重新执行签名操作

从实现角度看，修复需要确保：

• attach命令正确处理rekor-response参数
• Bundle数据被完整写入新生成的签名文件
• 保持与其他Cosign功能的兼容性

最佳实践

在进行签名管理时，建议：

1. 始终验证签名各组件完整性
2. 保留原始签名材料作为备份
3. 关注工具更新以获取问题修复
4. 对于关键业务系统，考虑实施多层验证机制

该问题的存在提醒我们，在供应链安全工具链中，每个组件的正确处理都至关重要，任何环节的缺失都可能影响整个信任体系的可靠性。