Zum Hauptinhalt springen
In diesem Dokument wird beschrieben, wie Sie die kryptografischen Signaturen und Attestierungen verifizieren, die von der Image-Veröffentlichungspipeline vantage-packager erstellt werden.

Übersicht

Die vantage-packager-Pipeline erstellt mehrere Sicherheitsartefakte für jedes veröffentlichte Image:
  • Container-Image-Signatur: Kryptografische Signatur mit Cosign
  • SPDX-SBOM-Attestation: Software Bill of Materials (SBOM) im SPDX-2.3-Format
  • Schwachstellen-Scan-Attestation: Ergebnisse des Sicherheitsscans im SARIF-Format Alle Artefakte werden mit demselben privaten Schlüssel signiert und können mit dem entsprechenden öffentlichen Schlüssel verifiziert werden.

Voraussetzungen

Für die folgenden Schritte müssen diese Tools installiert sein:
  • cosign – zur Überprüfung von Signaturen und Attestierungen
  • jq – zum Parsen und Analysieren von JSON
  • curl – zum Herunterladen von Artefakten (optional)

Signaturprüfung

Einfache Überprüfung

Überprüfen Sie eine Bildsignatur mithilfe des öffentlichen Schlüssels:

Mit deaktivierter TLS-Überprüfung

Für Registries mit selbstsignierten Zertifikaten:
Erwartete Ausgabe:

Überprüfung der Attestierung

SPDX-SBOM-Attestierung

Überprüfen Sie die Attestierung für die SPDX-SBOM:

Nachweis des Schwachstellenscans

Überprüfen Sie den Nachweis des Schwachstellenscans:

Abrufen von Attestationsdaten

SPDX-SBOM herunterladen

Extrahieren Sie die SPDX-SBOM aus der Attestierung:

Schwachstellenscan herunterladen

Extrahieren Sie die Ergebnisse des Schwachstellenscans:

Analyse von SPDX-SBOM-Daten

Allgemeine SBOM-Informationen

Alle Pakete auflisten

Pakete mit bekannten Sicherheitslücken finden

Lizenzinformationen

Analyse von Schwachstellenscan-Daten

Basisinformationen zum Scan

Schwachstellen auflisten

Schwachstellen mit hoher Schwere

Tools zur Visualisierung von SBOMs

CLI-Tools

CycloneDX SBOM-Tool

Installieren und verwenden Sie das CycloneDX SBOM-Tool für weitergehende Analysen:

Benutzerdefinierte Analyse mit jq

Webbasierte Visualisierung

SBOM.sh Online-Viewer

  1. Rufen Sie https://sbom.sh/ auf
  2. Laden Sie Ihre Datei sbom.json hoch
  3. Erkunden Sie die interaktive Visualisierung der Komponenten und Abhängigkeiten

Erkennung von Artefaktverweisen

Signaturartefakte suchen

Attestierungsartefakte suchen