Подписываем образы без ключей: Sigstore и cosign в CI
Keyless-подпись контейнерных образов через Sigstore: cosign, Fulcio и Rekor подписывают артефакт по OIDC-идентичности CI без долгоживущих ключей. Разбираем поток, ловушки и минимальный GitLab CI пайплайн с проверкой на admission.