https://this-is-fine.io/tags/ci/Recent content in Ci on FuchsbauHugode-DETue, 26 May 2026 14:33:17 +0200https://this-is-fine.io/posts/20260526-radicle-p2p-forge/Tue, 26 May 2026 14:33:17 +0200https://this-is-fine.io/posts/20260526-radicle-p2p-forge/<p>Git ist von Haus aus dezentral — aber die Art, wie wir damit zusammenarbeiten, ist es längst nicht. Pull Requests, Issues, Reviews: All das lebt auf zentralen Plattformen, die das Protokoll selbst gar nicht braucht. <a href="https://radicle.xyz" rel="external noopener" target="_blank">Radicle</a> holt diese Kollaborationsschicht zurück ins dezentrale Modell, und genau deshalb ziehe ich gerade nicht nur mein Lab, sondern <strong>alle</strong> meine Repos dorthin um — und das sind einige, überwiegend die Quellen meiner Container-Images.</p>https://this-is-fine.io/posts/20251204-cosign-kyverno-supply-chain/Thu, 04 Dec 2025 16:21:47 +0100https://this-is-fine.io/posts/20251204-cosign-kyverno-supply-chain/<p>Wer eigene Container-Images baut und in einer eigenen Registry hält, hat ein Vertrauensproblem in petto: Woher weiß der Cluster, dass ein Image wirklich aus meiner Pipeline stammt und nicht unterwegs manipuliert wurde? Meine Antwort ist eine geschlossene Kette aus zwei Hälften — <strong> <a href="https://github.com/sigstore/cosign" rel="external noopener" target="_blank">cosign</a> </strong> signiert in der CI, <strong> <a href="https://kyverno.io/" rel="external noopener" target="_blank">Kyverno</a> </strong> verifiziert im Cluster und lässt nichts Unsigniertes durch.</p>