メインコンテンツへスキップ
このドキュメントでは、vantage-packager イメージ公開パイプラインによって作成された暗号署名およびアテステーションを検証する方法について説明します。

概要

vantage-packager パイプラインは、公開された各イメージごとに複数のセキュリティアーティファクトを生成します。
  • コンテナイメージ署名: Cosign を使用した暗号署名
  • SPDX SBOM アテステーション: SPDX 2.3 形式の Software Bill of Materials
  • 脆弱性スキャンアテステーション: SARIF 形式のセキュリティスキャン結果
すべてのアーティファクトは同じ秘密鍵で署名され、対応する公開鍵を使用して検証できます。

前提条件

以下のツールがインストールされている必要があります。
  • cosign - 署名およびアテステーションの検証用
  • jq - JSON の解析および分析用
  • curl - アーティファクトのダウンロード用(任意)

署名検証

基本検証

公開鍵を使用して画像署名を検証します。

TLS 検証を無効にしている場合

自己署名証明書を使用しているレジストリの場合:
期待される出力:

アテステーションの検証

SPDX SBOM アテステーション

SPDX ソフトウェア部品表 (SBOM) のアテステーションを検証します。

脆弱性スキャン証明

脆弱性スキャンの証明を検証します。

アテステーションデータの取得

SPDX SBOM をダウンロード

アテステーションから SPDX SBOM を抽出します:

脆弱性スキャンのダウンロード

脆弱性スキャン結果を取得します。

SPDX SBOM データの解析

SBOM の基本情報

すべてのパッケージを一覧表示

既知の脆弱性があるパッケージを検索する

ライセンス情報

脆弱性スキャンデータの分析

スキャンの基本情報

脆弱性の一覧

重大度の高い脆弱性

SBOM の可視化ツール

CLI ツール

CycloneDX SBOM ユーティリティ

高度な分析を行うには、CycloneDX SBOM ユーティリティをインストールして利用します。

jq を使ったカスタム分析

Webベースの可視化

SBOM.sh オンラインビューアー

  1. https://sbom.sh/ にアクセスします
  2. sbom.json ファイルをアップロードします
  3. コンポーネントや依存関係をインタラクティブに可視化して確認します

アーティファクト参照の検出

署名アーティファクトの検索

認証アーティファクトの検索