Passer au contenu principal
Ce document explique comment vérifier les signatures cryptographiques et les attestations créées par le pipeline de publication des images vantage-packager.

Vue d’ensemble

Le pipeline de traitement vantage-packager crée plusieurs artefacts de sécurité pour chaque image publiée :
  • Container Image Signature : signature cryptographique avec Cosign
  • SPDX SBOM Attestation : nomenclature logicielle au format SPDX 2.3
  • Vulnerability Scan Attestation : résultats de l’analyse des vulnérabilités au format SARIF Tous les artefacts sont signés avec la même clé privée et peuvent être vérifiés à l’aide de la clé publique correspondante.

Prérequis

Vous devez avoir installé les outils suivants :
  • cosign - pour la vérification des signatures et des attestations
  • jq - pour l’analyse et le traitement du JSON
  • curl - pour télécharger des artefacts (facultatif)

Vérification des signatures

Vérification de base

Vérifiez une signature d’image à l’aide de la clé publique :

Lorsque la vérification TLS est désactivée

Pour les registres utilisant des certificats auto-signés :
Résultat attendu :

Vérification de l’attestation

Attestation SBOM SPDX

Vérifiez l’attestation de nomenclature logicielle SPDX :

Attestation d’analyse des vulnérabilités

Vérifiez l’attestation d’analyse des vulnérabilités :

Récupération des données d’attestation

Télécharger le SPDX SBOM

Extrayez le SPDX SBOM à partir de l’attestation :

Télécharger le rapport d’analyse des vulnérabilités

Extrayez les résultats de l’analyse des vulnérabilités :

Analyse des données d’un SPDX SBOM

Informations générales sur le SBOM

Lister tous les packages

Identifier les packages présentant des vulnérabilités connues

Informations sur la License

Analyse des données issues de l’analyse des vulnérabilités

Informations de base sur le scan

Liste des vulnérabilités

Vulnérabilités à gravité élevée

Outils de visualisation de SBOM

Outils en ligne de commande

Utilitaire CycloneDX SBOM

Installez et utilisez l’utilitaire CycloneDX SBOM pour des analyses avancées :

Analyse personnalisée avec jq

Visualisation sur le Web

Visionneuse en ligne SBOM.sh

  1. Rendez-vous sur https://sbom.sh/
  2. Téléversez votre fichier sbom.json
  3. Explorez la visualisation interactive des composants et des dépendances

Repérage des références d’artefacts

Rechercher des artefacts de signature

Rechercher des artefacts d’attestation