Descripción general
vantage-packager crea varios artefactos de seguridad para cada imagen publicada:
- Firma de imagen de contenedor: firma criptográfica con Cosign
- Atestación de SBOM SPDX: lista de materiales de software en formato SPDX 2.3
- Atestación de análisis de vulnerabilidades: resultados del análisis de seguridad en formato SARIF Todos los artefactos están firmados con la misma clave privada y se pueden verificar con la clave pública correspondiente.
Requisitos previos
cosign- para verificar firmas y atestacionesjq- para el análisis y parseo de JSONcurl- para descargar artefactos (opcional)
Verificación de firmas
Verificación básica
Con la verificación TLS desactivada
Verificación de atestaciones
Atestación de SBOM SPDX
Atestación de análisis de vulnerabilidades
Obtención de datos de atestación
Descargar SBOM SPDX
Descargar el análisis de vulnerabilidades
Análisis de datos de la SBOM SPDX
Información básica sobre la SBOM
Listar todos los paquetes
Buscar paquetes con vulnerabilidades conocidas
Información sobre License
Análisis de los datos del análisis de vulnerabilidades
Información básica del escaneo
Lista de vulnerabilidades
Vulnerabilidades de alta gravedad
Herramientas para visualizar SBOM
Herramientas de línea de comandos
Utilidad de SBOM de CycloneDX
Análisis personalizado con jq
Visualización web
Visor en línea de SBOM.sh
- Visita https://sbom.sh/
- Carga tu archivo
sbom.json - Explora la visualización interactiva de los componentes y sus dependencias
