Что такое image signing и зачем это нужно?

Image signing криптографически подтверждает что образ создан авторизованным источником и не был изменён. Без подписи атакующий может подменить образ в registry. Подписанный образ верифицируется перед pull. Cosign от Sigstore — современный инструмент: cosign sign создаёт подпись, cosign verify проверяет. Keyless подпись через OIDC (GitHub Actions) без управления ключами. Policy Admission Controller (Kyverno, OPA) требует подписанных образов при деплое в k8s.