Zum Hauptinhalt springen
Dieses Dokument beschreibt, wie Sie die kryptografischen Signaturen und Attestierungen überprüfen, die von der Veröffentlichungspipeline des Images vantage-packager erstellt werden.

Überblick

Die vantage-packager-Verarbeitungspipeline erstellt mehrere Sicherheitsartefakte für jedes veröffentlichte Container-Image:
  • Container-Image-Signatur: Kryptografische Signatur mit Cosign
  • SPDX SBOM-Attestierung: Software Bill of Materials im SPDX-2.3-Format
  • Attestierung des Schwachstellen-Scans: Ergebnisse des Sicherheitsscans im SARIF-Format Alle Artefakte werden mit demselben privaten Schlüssel signiert und können mit dem entsprechenden öffentlichen Schlüssel verifiziert werden.

Voraussetzungen

Folgende Tools müssen installiert sein:
  • cosign – für die Verifizierung von Signaturen und Attestierungen
  • jq – für das Parsen und Analysieren von JSON
  • curl – zum Herunterladen von Artefakten (optional)

Signaturverifizierung

Grundlegende Verifizierung

Verifizieren Sie eine Image-Signatur mit dem öffentlichen Schlüssel:

Mit deaktivierter TLS-Prüfung

Für Registries mit selbstsignierten Zertifikaten:
Erwartete Ausgabe:

Verifizierung der Attestierung

SPDX SBOM-Attestierung

Prüfen Sie die Attestierung der SPDX Software Bill of Materials:

Attestierung des Schwachstellen-Scans

Prüfen Sie die Attestierung des Schwachstellen-Scans:

Attestierungsdaten abrufen

SPDX SBOM herunterladen

Extrahieren Sie die SPDX SBOM aus der Attestierung:

Ergebnisse des Schwachstellen-Scans herunterladen

Extrahieren Sie die Ergebnisse des Schwachstellen-Scans:

Analyse von SPDX-SBOM-Daten

Grundlegende Informationen zur SBOM

Alle Pakete auflisten

Pakete mit bekannten Sicherheitslücken finden

Lizenzinformationen

Daten eines Schwachstellen-Scans analysieren

Grundlegende Scan-Informationen

Auflisten von Schwachstellen

Schwachstellen mit hohem Schweregrad

Tools zur SBOM-Visualisierung

CLI-Werkzeuge

CycloneDX-SBOM-Dienstprogramm

Installieren und verwenden Sie das CycloneDX-SBOM-Dienstprogramm für eine erweiterte Analyse:

Benutzerdefinierte Analyse mit jq

Webbasierte Visualisierung

SBOM.sh-Online-Viewer

  1. Rufen Sie https://sbom.sh/ auf.
  2. Laden Sie Ihre Datei sbom.json hoch.
  3. Erkunden Sie die interaktive Visualisierung von Komponenten und Abhängigkeiten.

Ermittlung von Artefaktverweisen

Signatur-Artefakte finden

Attestierungsartefakte finden