メインコンテンツへスキップ
このドキュメントでは、vantage-packager のイメージ公開パイプラインで作成された暗号署名とアテステーションを検証する方法を説明します。

概要

vantage-packager パイプラインは、公開済みの各イメージに対して複数のセキュリティアーティファクトを作成します。
  • コンテナーイメージ署名: Cosign を使用した暗号学的署名
  • SPDX SBOMアテステーション: SPDX 2.3 形式のソフトウェア部品表
  • 脆弱性スキャンアテステーション: SARIF 形式のセキュリティスキャン結果 すべてのアーティファクトは同じ秘密鍵で署名されており、対応する公開鍵を使用して検証できます。

前提条件

以下のツールがインストールされている必要があります。
  • cosign - 署名およびアテステーションの検証用
  • jq - JSON のパースと解析用
  • curl - アーティファクトのダウンロード用 (任意)

署名の検証

基本的な検証

公開鍵を使用して、イメージ署名を検証します:

TLS検証を無効にする場合

自己署名証明書を使用しているレジストリの場合:
想定される出力結果:

アテステーションの検証

SPDX SBOM アテステーション

SPDX Software Bill of Materials のアテステーションを検証します:

脆弱性スキャンアテステーション

脆弱性スキャンのアテステーションを検証します。

アテステーションデータの取得

SPDX SBOM をダウンロード

アテステーションから SPDX SBOM を取得します:

脆弱性スキャンをダウンロード

脆弱性スキャンの結果を取得します:

SPDX SBOM データの分析

SBOMの基本情報

すべてのパッケージを一覧表示

既知の脆弱性があるパッケージを特定する

License 情報

脆弱性スキャンデータの分析

スキャンの基本情報

脆弱性の一覧

深刻度の高い脆弱性

SBOM可視化ツール

CLI ツール

CycloneDX SBOM Utility

高度な解析を行うには、CycloneDX SBOMユーティリティをインストールして使用します。

jq を使ったカスタム解析

Web上での可視化

SBOM.sh オンラインビューアー

  1. https://sbom.sh/ にアクセスします
  2. sbom.json ファイルをアップロードします
  3. コンポーネントと依存関係をインタラクティブに可視化して確認します

アーティファクト参照の検出

署名アーティファクトを探す

アテステーション アーティファクトを検索する