Red Hat Summit1.2. 信頼できるアーティファクト署名のインストールの確認
システム管理者として、Red Hat OpenShift Container Platform 上で実行されている Red Hat Trusted Artifact Signer (RHTAS) のデプロイメントを確認できます。
テストコンテナーイメージに署名し、その署名の信頼性を検証して、環境内での RHTAS のデプロイメントを検証できます。
コードパイプラインからアーティファクトビルドに署名する方法は 2 つ、検証する方法は 3 つあります。cosign と gitsign を使用して署名および検証できますが、検証できるのは Enterprise Contract のみです。
1.2.1. コマンドラインインターフェイスから Cosign を使用したコンテナーの署名と検証
cosign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Open Container Initiative (OCI) コンテナーイメージや他のビルドアーティファクトに署名し、検証する機能が提供されます。
RHTAS の場合、cosign バージョン 2.2 以降を使用する必要があります。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降への RHTAS インストール。
- OpenShift Web コンソールへのアクセス。
-
ocおよびpodmanバイナリーがインストールされたワークステーション。
手順
OpenShift クラスターからワークステーションに
cosignバイナリーをダウンロードします。- OpenShift Web コンソールにログインします。ホームページから ? アイコンをクリックして、Command line tools をクリックし、cosign ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow gunzip cosign-amd64.gz chmod +x cosign-amd64
gunzip cosign-amd64.gz chmod +x cosign-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow sudo mv cosign-amd64 /usr/local/bin/cosign
sudo mv cosign-amd64 /usr/local/bin/cosign
OpenShift クラスターにログインします。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc login --token=TOKEN --server=SERVER_URL_AND_PORT
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTAS プロジェクトに切り替えます。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc project PROJECT_NAME
oc project PROJECT_NAME例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc project trusted-artifact-signer
oc project trusted-artifact-signer注記RHTAS インストールのプロジェクト名を使用します。
コンテナーイメージの署名と検証を行うためにシェル環境を設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow export TUF_URL="https://tuf.${BASE_HOSTNAME}" export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLexport TUF_URL="https://tuf.${BASE_HOSTNAME}" export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLThe Update Framework (TUF) システムを初期化します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign initialize
cosign initializeテストコンテナーイメージに署名します。
空のコンテナーイメージを作成します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h空のコンテナーイメージを
ttl.sh一時レジストリーにプッシュします。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow podman push ttl.sh/rhtas/test-image:1h
podman push ttl.sh/rhtas/test-image:1hコンテナーイメージに署名します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign sign -y IMAGE_NAME:TAG
cosign sign -y IMAGE_NAME:TAG例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign sign -y ttl.sh/rhtas/test-image:1h
cosign sign -y ttl.sh/rhtas/test-image:1hWeb ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。
一時的な Docker ファイルを削除します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rm ./tmp.Dockerfile
rm ./tmp.Dockerfile
証明書 ID と発行者を使用して、署名済みコンテナーイメージを確認します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign verify --certificate-identity=SIGNING_EMAIL_ADDR IMAGE_NAME:TAG
cosign verify --certificate-identity=SIGNING_EMAIL_ADDR IMAGE_NAME:TAG例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign verify --certificate-identity=jdoe@redhat.com ttl.sh/rhtas/test-image:1h
cosign verify --certificate-identity=jdoe@redhat.com ttl.sh/rhtas/test-image:1h注記cosignコマンドと--certificate-identity-regexpおよび--certificate-oidc-issuer-regexpオプションを使用して、証明書の ID と発行者に正規表現を使用することもできます。OpenShift クラスターからワークステーションに
rekor-cliバイナリーをダウンロードします。- OpenShift Web コンソールにログインします。ホームページで ? アイコンをクリックし、Command line tools をクリックして rekor-cli ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow gunzip rekor-cli-amd64.gz chmod +x rekor-cli-amd64
gunzip rekor-cli-amd64.gz chmod +x rekor-cli-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
Rekor コマンドラインインターフェイスを使用して透明性ログをクエリーします。
ログインデックスに基づき検索します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rekor-cli get --log-index 0 --rekor_server $COSIGN_REKOR_URL --format json | jq
rekor-cli get --log-index 0 --rekor_server $COSIGN_REKOR_URL --format json | jqユニバーサルユニーク ID (UUID) を取得するために、メールアドレスを検索します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rekor-cli search --email SIGNING_EMAIL_ADDR --rekor_server $COSIGN_REKOR_URL --format json | jq
rekor-cli search --email SIGNING_EMAIL_ADDR --rekor_server $COSIGN_REKOR_URL --format json | jq例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rekor-cli search --email jdoe@redhat.com --rekor_server $COSIGN_REKOR_URL --format json | jq
rekor-cli search --email jdoe@redhat.com --rekor_server $COSIGN_REKOR_URL --format json | jqこのコマンドは、次の手順で使用する UUID を返します。
UUID を使用してトランザクションの詳細を取得します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rekor-cli get --uuid UUID --rekor_server $COSIGN_REKOR_URL --format json | jq
rekor-cli get --uuid UUID --rekor_server $COSIGN_REKOR_URL --format json | jq例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rekor-cli get --uuid 24296fb24b8ad77a71b9c1374e207537bafdd75b4f591dcee10f3f697f150d7cc5d0b725eea641e7 --rekor_server $COSIGN_REKOR_URL --format json | jq
rekor-cli get --uuid 24296fb24b8ad77a71b9c1374e207537bafdd75b4f591dcee10f3f697f150d7cc5d0b725eea641e7 --rekor_server $COSIGN_REKOR_URL --format json | jq
関連情報
1.2.2. コマンドラインインターフェイスから Gitsign を使用したコミットの署名および検証
gitsign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Git リポジトリーのコミットに署名し、検証することができます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降への RHTAS インストール。
- OpenShift Web コンソールへのアクセス。
oc、git、cosignバイナリーがインストールされたワークステーション。-
cosignバージョン 2.2 以降を使用する必要があります。
-
手順
OpenShift クラスターからワークステーションに
gitsignバイナリーをダウンロードします。- OpenShift Web コンソールにログインします。ホームページから、? をクリックします。アイコンをクリックして、Command line tools をクリックし、gitsign ダウンロードセクションに移動して、お使いのプラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、.gz ファイルを展開して、実行ビットを設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow gunzip gitsign-amd64.gz chmod +x gitsign-amd64
gunzip gitsign-amd64.gz chmod +x gitsign-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow sudo mv gitsign-amd64 /usr/local/bin/gitsign
sudo mv gitsign-amd64 /usr/local/bin/gitsign
OpenShift クラスターにログインします。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc login --token=TOKEN --server=SERVER_URL_AND_PORT
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTAS プロジェクトに切り替えます。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc project PROJECT_NAME
oc project PROJECT_NAME例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc project trusted-artifact-signer
oc project trusted-artifact-signer注記RHTAS インストールのプロジェクト名を使用します。
コミットの署名と検証を行うためにシェル環境を設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow export TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLexport TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLRHTAS サービスを使用してコミットに署名するようにローカルリポジトリー設定を指定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow git config --local commit.gpgsign true git config --local tag.gpgsign true git config --local gpg.x509.program gitsign git config --local gpg.format x509 git config --local gitsign.fulcio $SIGSTORE_FULCIO_URL git config --local gitsign.rekor $SIGSTORE_REKOR_URL git config --local gitsign.issuer $SIGSTORE_OIDC_ISSUER git config --local gitsign.clientID trusted-artifact-signer
git config --local commit.gpgsign true git config --local tag.gpgsign true git config --local gpg.x509.program gitsign git config --local gpg.format x509 git config --local gitsign.fulcio $SIGSTORE_FULCIO_URL git config --local gitsign.rekor $SIGSTORE_REKOR_URL git config --local gitsign.issuer $SIGSTORE_OIDC_ISSUER git config --local gitsign.clientID trusted-artifact-signerローカルリポジトリーにコミットを作成します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow git commit --allow-empty -S -m “Test of a signed commit”
git commit --allow-empty -S -m “Test of a signed commit”Web ブラウザーが開いて、メールアドレスでコミットに署名できます。
The Update Framework (TUF) システムを初期化します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign initialize
cosign initializeコミットを確認します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow gitsign verify --certificate-identity=SIGNING_EMAIL --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
gitsign verify --certificate-identity=SIGNING_EMAIL --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow gitsign verify --certificate-identity=jdoe@redhat.com --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
gitsign verify --certificate-identity=jdoe@redhat.com --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
1.2.3. エンタープライズコントラクトを使用したコンテナーイメージの署名の検証
Enterprise Contract (EC) は、ソフトウェアサプライチェーンのセキュリティーを維持するためのツールであり、これを使用してコンテナーイメージのポリシーを定義および適用できます。ec バイナリーを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) 署名フレームワークを使用するコンテナーイメージのアテステーションと署名を検証できます。
前提条件
- Red Hat OpenShift Container Platform 4.15 以降への RHTAS インストール。
- OpenShift Web コンソールへのアクセス。
oc、cosign、およびpodmanバイナリーがインストールされたワークステーション。-
cosignバージョン 2.2 以降を使用する必要があります。
-
手順
OpenShift クラスターから
ecバイナリーをダウンロードします。- OpenShift Web コンソールにログインします。ホームページから ? アイコンをクリックし、Command line tools をクリックして、ec ダウンロードセクションに移動してから、お使いのプラットフォームへのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow gunzip ec-amd64.gz chmod +x ec-amd64
gunzip ec-amd64.gz chmod +x ec-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow sudo mv ec-amd64 /usr/local/bin/ec
sudo mv ec-amd64 /usr/local/bin/ec
OpenShift クラスターにログインします。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc login --token=TOKEN --server=SERVER_URL_AND_PORT
oc login --token=TOKEN --server=SERVER_URL_AND_PORT例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443
oc login --token=sha256~ZvFDBvoIYAbVECixS4-WmkN4RfnNd8Neh3y1WuiFPXC --server=https://example.com:6443注記OpenShift Web コンソールからコマンドラインで使用するログイントークンと URL を確認できます。OpenShift Web コンソールにログインします。ユーザー名をクリックし、Copy login command をクリックします。入力を求められた場合はユーザー名とパスワードをもう一度入力し、Display Token をクリックしてコマンドを表示します。
RHTAS プロジェクトに切り替えます。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc project PROJECT_NAME
oc project PROJECT_NAME例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc project trusted-artifact-signer
oc project trusted-artifact-signer注記RHTAS インストールのプロジェクト名を使用します。
コンテナーイメージの署名と検証を行うためにシェル環境を設定します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow export TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLexport TUF_URL=$(oc get tuf -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export OIDC_ISSUER_URL=https://$(oc get route keycloak -n keycloak-system | tail -n 1 | awk '{print $2}')/auth/realms/trusted-artifact-signer export COSIGN_FULCIO_URL=$(oc get fulcio -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_REKOR_URL=$(oc get rekor -o jsonpath='{.items[0].status.url}' -n trusted-artifact-signer) export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLThe Update Framework (TUF) システムを初期化します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign initialize
cosign initializeテストコンテナーイメージに署名します。
空のコンテナーイメージを作成します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h空のコンテナーイメージを
ttl.sh一時レジストリーにプッシュします。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow podman push ttl.sh/rhtas/test-image:1h
podman push ttl.sh/rhtas/test-image:1hコンテナーイメージに署名します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign sign -y IMAGE_NAME:TAG
cosign sign -y IMAGE_NAME:TAG例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign sign -y ttl.sh/rhtas/test-image:1h
cosign sign -y ttl.sh/rhtas/test-image:1hWeb ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。
一時的な Docker ファイルを削除します。
例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow rm ./tmp.Dockerfile
rm ./tmp.Dockerfile
predicate.jsonファイルを作成します。例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow { "builder": { "id": "https://localhost/dummy-id" }, "buildType": "https://example.com/tekton-pipeline", "invocation": {}, "buildConfig": {}, "metadata": { "completeness": { "parameters": false, "environment": false, "materials": false }, "reproducible": false }, "materials": [] }{ "builder": { "id": "https://localhost/dummy-id" }, "buildType": "https://example.com/tekton-pipeline", "invocation": {}, "buildConfig": {}, "metadata": { "completeness": { "parameters": false, "environment": false, "materials": false }, "reproducible": false }, "materials": [] }スキーマレイアウトの詳細は、SLSA provenance predicate specifications を参照してください。
predicate.jsonファイルをコンテナーイメージに関連付けます。構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign attest -y --predicate ./predicate.json --type slsaprovenance IMAGE_NAME:TAG
cosign attest -y --predicate ./predicate.json --type slsaprovenance IMAGE_NAME:TAG例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign attest -y --predicate ./predicate.json --type slsaprovenance ttl.sh/rhtas/test-image:1h
cosign attest -y --predicate ./predicate.json --type slsaprovenance ttl.sh/rhtas/test-image:1hコンテナーイメージにアテステーションと署名が 1 つ以上含まれていることを確認します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign tree IMAGE_NAME:TAG
cosign tree IMAGE_NAME:TAG例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cosign tree ttl.sh/rhtas/test-image:1h 📦 Supply Chain Security Related artifacts for an image: ttl.sh/rhtas/test-image@sha256:7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35 └── 💾 Attestations for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.att └── 🍒 sha256:40d94d96a6d3ab3d94b429881e1b470ae9a3cac55a3ec874051bdecd9da06c2e └── 🔐 Signatures for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.sig └── 🍒 sha256:f32171250715d4538aec33adc40fac2343f5092631d4fc2457e2116a489387b7
cosign tree ttl.sh/rhtas/test-image:1h 📦 Supply Chain Security Related artifacts for an image: ttl.sh/rhtas/test-image@sha256:7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35 └── 💾 Attestations for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.att └── 🍒 sha256:40d94d96a6d3ab3d94b429881e1b470ae9a3cac55a3ec874051bdecd9da06c2e └── 🔐 Signatures for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.sig └── 🍒 sha256:f32171250715d4538aec33adc40fac2343f5092631d4fc2457e2116a489387b7Enterprise Contact を使用してコンテナーイメージを確認します。
構文
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ec validate image --image IMAGE_NAME:TAG --certificate-identity-regexp 'SIGNER_EMAIL_ADDR' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes
ec validate image --image IMAGE_NAME:TAG --certificate-identity-regexp 'SIGNER_EMAIL_ADDR' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ec validate image --image ttl.sh/rhtas/test-image:1h --certificate-identity-regexp 'jdoe@example.com' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes success: true successes: - metadata: code: builtin.attestation.signature_check msg: Pass - metadata: code: builtin.attestation.syntax_check msg: Pass - metadata: code: builtin.image.signature_check msg: Pass ec-version: v0.1.2427-499ef12 effective-time: "2024-01-21T19:57:51.338191Z" key: "" policy: {} success: trueec validate image --image ttl.sh/rhtas/test-image:1h --certificate-identity-regexp 'jdoe@example.com' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes success: true successes: - metadata: code: builtin.attestation.signature_check msg: Pass - metadata: code: builtin.attestation.syntax_check msg: Pass - metadata: code: builtin.image.signature_check msg: Pass ec-version: v0.1.2427-499ef12 effective-time: "2024-01-21T19:57:51.338191Z" key: "" policy: {} success: trueエンタープライズコントラクトは、セキュリティー違反の詳細を含む pass-fail レポートを生成します。
--infoフラグを追加すると、レポートには、検出された違反に対する詳細と考えられる解決策が含まれます。
関連情報
- Enterprise Contract は現在 Conforma と呼ばれています。
- Enterprise Contract によるコンプライアンス管理
関連情報
- 詳細は、Enterprise Contract の Web サイト を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}