Red Hat Summit5.2. セキュリティーインサイトの表示
プロモーションパイプライン実行は、パイプライン内のすべてのタスクを視覚的に表します。緑色 のステータスは、正常に完了したことを示しています。細かく監視する必要をなくし、ワークフローを効率化します。
プロモーションパイプラインのタスクは、次のもので構成されます。
-
clone-repository: 指定されたリポジトリーをワークスペースに複製し、git-clone タスクで実行できるように準備します。 -
gather-deploy-images: PR の変更に基づいて、スキャンするコンテナーイメージを検出します。 -
verify-enterprise-contract: 変更されたコンテナーイメージを検証します。このタスクにより、企業の標準ビルドシステムまたは承認済みのビルドシステムから生成されたイメージであることが確認されます。このタスクでは、Enterprise Contract (EC) ポリシーと Sigstore の cosign ツールを活用し、イメージ署名とアテステーションの整合性を評価します。
パイプライン実行内のタスクをクリックすると、そのタスクに関連するログやその他の詳細にアクセスできます。
5.2.1. Enterprise Contract タスク
Enterprise Contract は、ソフトウェアサプライチェーンのセキュリティーを維持するために設計されたツール群です。コンテナーイメージのビルドおよびテスト方法に関するポリシーを定義および適用できます。
Enterprise Contract は、Red Hat Trusted Application Pipeline によって生成されたコンテナーイメージを実稼働環境にリリースする前に、イメージが明確に定義された要件を満たしていることを確認します。イメージが該当する基準を満たしていない場合、EC は対処する必要がある具体的な問題を概説したレポートを生成します。
Red Hat Trusted Application Pipeline のビルドプロセスでは、Tekton Chains を使用して、ビルドパイプラインの署名済みの in-toto アテステーションを作成します。次に、EC がこの署名済みのアテステーションを活用して、ビルドの整合性を暗号的に検証し、一連のポリシーに照らして評価します。これらのポリシーにより、規定されたベストプラクティスと組織固有のセキュリティーガイドラインにビルドプロセスが準拠していることが確認されます。
コンプライアンスレポートの解釈
Enterprise Contract (EC) スキャンによって生成される詳細なレポートは、堅牢なセキュリティー体制を維持する上で重要なセキュリティーインサイトを提供するのに役立ちます。このレポートを解釈する方法を以下に示します。
- ポリシーコンプライアンスの概要: EC スキャンは、Supply Chain Levels for Software Artifacts (SLSA) セキュリティーフレームワークへのアプリケーションのコンプライアンスを評価します。レポートには、実行されたチェック、各チェックのステータス (成功、警告、失敗) がリスト表示され、観察された警告または失敗に関するメッセージが表示されます。
表示される詳細情報: ポリシーレポートの詳細:
- 成功したチェック: 満たされたポリシールールの数と詳細。
- 警告と失敗: 警告または失敗の原因となったポリシールールと、理由を説明するメッセージ。
- ルールへの準拠: ソースコードの参照やアテステーションチェックなど、アプリケーションが個々のポリシールールにどの程度準拠しているかの詳細。
図5.1 EC レポート
コンプライアンスレポートの詳細情報の活用
EC スキャンレポートから得られる詳細情報は、セキュリティーおよびコンプライアンスの取り組みの優先順位を付ける上で重要です。
- ポリシーへの準拠の確認: SLSA およびその他の関連する標準への準拠を綿密に確認して、アプリケーションのインテグリティーを確保します。EC スキャンの推奨事項に従って、コンプライアンスのギャップに対処します。
- レポート確認の効率化: レポート内に用意されているフィルターを使用して重要な領域に焦点を当てることで、確認プロセスの効率化を促進し、重要な問題やコンプライアンスのギャップを迅速に特定できます。
関連情報
- EC ポリシーと設定の詳細は、Enterprise Contract によるコンプライアンスの管理 を参照してください。
改訂日時: 2024-07-16
