Saltar al contenido principal
Este documento describe cómo verificar las firmas criptográficas y las atestaciones creadas por el flujo de publicación de imágenes de vantage-packager.

Descripción general

El flujo vantage-packager crea varios artefactos de seguridad para cada imagen publicada:
  • Firma de imagen de contenedor: firma criptográfica con Cosign
  • Atestación de SBOM SPDX: lista de materiales de software en formato SPDX 2.3
  • Atestación de análisis de vulnerabilidades: resultados del análisis de seguridad en formato SARIF Todos los artefactos están firmados con la misma clave privada y se pueden verificar con la clave pública correspondiente.

Requisitos previos

Necesitarás tener instaladas las siguientes herramientas:
  • cosign - para verificar firmas y atestaciones
  • jq - para el análisis y parseo de JSON
  • curl - para descargar artefactos (opcional)

Verificación de firmas

Verificación básica

Verifique la firma de una imagen con la clave pública:

Con la verificación TLS desactivada

Para registros que usan certificados autofirmados:
Resultado esperado:

Verificación de atestaciones

Atestación de SBOM SPDX

Verifique la atestación del SBOM SPDX:

Atestación de análisis de vulnerabilidades

Verifique la atestación de análisis de vulnerabilidades:

Obtención de datos de atestación

Descargar SBOM SPDX

Obtenga el SBOM SPDX de la atestación:

Descargar el análisis de vulnerabilidades

Extraiga los resultados del análisis de vulnerabilidades:

Análisis de datos de la SBOM SPDX

Información básica sobre la SBOM

Listar todos los paquetes

Buscar paquetes con vulnerabilidades conocidas

Información sobre License

Análisis de los datos del análisis de vulnerabilidades

Información básica del escaneo

Lista de vulnerabilidades

Vulnerabilidades de alta gravedad

Herramientas para visualizar SBOM

Herramientas de línea de comandos

Utilidad de SBOM de CycloneDX

Instala y usa la utilidad de SBOM de CycloneDX para realizar análisis avanzados:

Análisis personalizado con jq

Visualización web

Visor en línea de SBOM.sh

  1. Visita https://sbom.sh/
  2. Carga tu archivo sbom.json
  3. Explora la visualización interactiva de los componentes y sus dependencias

Detección de referencias a artefactos

Buscar artefactos de firma

Buscar artefactos de atestación