Red Hat Summit2.2. 信頼できるアーティファクト署名のインストールの確認
システム管理者として、Red Hat Enterprise Linux 上で実行されている Red Hat Trusted Artifact Signer (RHTAS) のデプロイメントが成功したかどうかを確認できます。
テストコンテナーイメージに署名し、その署名の信頼性を検証して、環境内での RHTAS のデプロイメントを検証できます。
コードパイプラインからアーティファクトビルドに署名する方法は 2 つ、検証する方法は 3 つあります。cosign と gitsign を使用して署名および検証できますが、検証できるのは Enterprise Contract のみです。
2.2.1. コマンドラインインターフェイスから Cosign を使用したコンテナーの署名と検証
cosign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Open Container Initiative (OCI) コンテナーイメージや他のビルドアーティファクトに署名し、検証する機能が提供されます。
RHTAS の場合、cosign バージョン 2.2 以降を使用する必要があります。
前提条件
- Ansible によって管理される Red Hat Enterprise Linux 9.4 以降で実行される RHTAS のインストール。
-
podmanバイナリーがインストールされたワークステーション。
手順
ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから
cosignバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。- ダウンロードページから、cosign ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip cosign-amd64.gz chmod +x cosign-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv cosign-amd64 /usr/local/bin/cosign
コンテナーイメージの署名と検証を行うためにシェル環境を設定します。
例
export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export TUF_URL="https://tuf.${BASE_HOSTNAME}" export OIDC_ISSUER_URL=OIDC_ISSUER_URL export COSIGN_FULCIO_URL="https://fulcio.${BASE_HOSTNAME}" export COSIGN_REKOR_URL="https://rekor.${BASE_HOSTNAME}" export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLBASE_HOSTNAME_OF_RHTAS_SERVICE は
tas_single_node_base_hostname変数の値に置き換え、OIDC_ISSUER_URL は OpenID Connect (OIDC) プロバイダーの URL 文字列に置き換えます。The Update Framework (TUF) システムを初期化します。
例
cosign initializeテストコンテナーイメージに署名します。
空のコンテナーイメージを作成します。
例
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h空のコンテナーイメージを
ttl.sh一時レジストリーにプッシュします。例
podman push ttl.sh/rhtas/test-image:1hコンテナーイメージに署名します。
構文
cosign sign -y IMAGE_NAME:TAG例
cosign sign -y ttl.sh/rhtas/test-image:1hWeb ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。
一時的な Docker ファイルを削除します。
例
rm ./tmp.Dockerfile
証明書 ID と発行者を使用して、署名済みコンテナーイメージを確認します。
構文
cosign verify --certificate-identity=SIGNING_EMAIL_ADDR IMAGE_NAME:TAG例
cosign verify --certificate-identity=jdoe@redhat.com ttl.sh/rhtas/test-image:1h注記cosignコマンドと--certificate-identity-regexpおよび--certificate-oidc-issuer-regexpオプションを使用して、証明書の ID と発行者に正規表現を使用することもできます。ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから
rekor-cliバイナリーをワークステーションにダウンロードします。Web ブラウザーを開き、CLI サーバーの Web ページに移動します。
注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。- ダウンロードページから rekor-cli ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー
.gzファイルを展開し、実行ビットを設定します。例
gunzip rekor-cli-amd64.gz chmod +x rekor-cli-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv rekor-cli-amd64 /usr/local/bin/rekor-cli
Rekor コマンドラインインターフェイスを使用して透明性ログをクエリーします。
ログインデックスに基づき検索します。
例
rekor-cli get --log-index 0 --rekor_server $COSIGN_REKOR_URL --format json | jqユニバーサルユニーク ID (UUID) を取得するために、メールアドレスを検索します。
構文
rekor-cli search --email SIGNING_EMAIL_ADDR --rekor_server $COSIGN_REKOR_URL --format json | jq例
rekor-cli search --email jdoe@redhat.com --rekor_server $COSIGN_REKOR_URL --format json | jqこのコマンドは、次の手順で使用する UUID を返します。
UUID を使用してトランザクションの詳細を取得します。
構文
rekor-cli get --uuid UUID --rekor_server $COSIGN_REKOR_URL --format json | jq例
rekor-cli get --uuid 24296fb24b8ad77a71b9c1374e207537bafdd75b4f591dcee10f3f697f150d7cc5d0b725eea641e7 --rekor_server $COSIGN_REKOR_URL --format json | jq
2.2.2. コマンドラインインターフェイスから Gitsign を使用したコミットの署名および検証
gitsign ツールを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) サービスを使用して、Git リポジトリーのコミットに署名し、検証することができます。
前提条件
- Ansible によって管理される Red Hat Enterprise Linux 9.4 以降で実行される RHTAS のインストール。
gitおよびcosignバイナリーがインストールされたワークステーション。-
cosignバージョン 2.2 以降を使用する必要があります。
-
手順
ローカルのコマンドラインインターフェイス (CLI) ツールのダウンロードページから
gitsignバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。- ダウンロードページから、gitsign ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、.gz ファイルを展開して、実行ビットを設定します。
例
gunzip gitsign-amd64.gz chmod +x gitsign-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv gitsign-amd64 /usr/local/bin/gitsign
コミットの署名と検証を行うためにシェル環境を設定します。
例
export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export TUF_URL="https://tuf.${BASE_HOSTNAME}" export OIDC_ISSUER_URL=OIDC_ISSUER_URL export COSIGN_FULCIO_URL="https://fulcio.${BASE_HOSTNAME}" export COSIGN_REKOR_URL="https://rekor.${BASE_HOSTNAME}" export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLBASE_HOSTNAME_OF_RHTAS_SERVICE は
tas_single_node_base_hostname変数の値に置き換え、OIDC_ISSUER_URL は OpenID Connect (OIDC) プロバイダーの URL 文字列に置き換えます。RHTAS サービスを使用してコミットに署名するようにローカルリポジトリー設定を指定します。
例
git config --local commit.gpgsign true git config --local tag.gpgsign true git config --local gpg.x509.program gitsign git config --local gpg.format x509 git config --local gitsign.fulcio $SIGSTORE_FULCIO_URL git config --local gitsign.rekor $SIGSTORE_REKOR_URL git config --local gitsign.issuer $SIGSTORE_OIDC_ISSUER git config --local gitsign.clientID trusted-artifact-signerローカルリポジトリーにコミットを作成します。
例
git commit --allow-empty -S -m “Test of a signed commit”Web ブラウザーが開いて、メールアドレスでコミットに署名できます。
The Update Framework (TUF) システムを初期化します。
例
cosign initializeコミットを確認します。
構文
gitsign verify --certificate-identity=SIGNING_EMAIL --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD例
gitsign verify --certificate-identity=jdoe@redhat.com --certificate-oidc-issuer=$SIGSTORE_OIDC_ISSUER HEAD
2.2.3. エンタープライズコントラクトを使用したコンテナーイメージの署名の検証
Enterprise Contract (EC) は、ソフトウェアサプライチェーンのセキュリティーを維持するためのツールであり、これを使用してコンテナーイメージのポリシーを定義および適用できます。ec バイナリーを使用すると、Red Hat の Trusted Artifact Signer (RHTAS) 署名フレームワークを使用するコンテナーイメージのアテステーションと署名を検証できます。
前提条件
- Ansible によって管理される Red Hat Enterprise Linux 9.4 以降で実行される RHTAS のインストール。
cosignおよびpodmanバイナリーがインストールされたワークステーション。-
cosignバージョン 2.2 以降を使用する必要があります。
-
手順
ローカルコマンドラインインターフェイス (CLI) ツールのダウンロードページから
ecバイナリーをワークステーションにダウンロードします。注記URL アドレスは、
tas_single_node_base_hostname変数によって定義された設定済みノードです。tas_single_node_base_hostnameの値がexample.comの場合、URL アドレスの例はhttps://cli-server.example.comです。- ダウンロードページから、ec ダウンロードセクションに移動し、プラットフォームのリンクをクリックします。
ワークステーションでターミナルを開き、バイナリー .gz ファイルを展開し、実行ビットを設定します。
例
gunzip ec-amd64.gz chmod +x ec-amd64バイナリーを
$PATH環境内の場所に移動し、名前を変更します。例
sudo mv ec-amd64 /usr/local/bin/ec
コンテナーイメージの署名と検証を行うためにシェル環境を設定します。
例
export BASE_HOSTNAME=BASE_HOSTNAME_OF_RHTAS_SERVICE export TUF_URL="https://tuf.${BASE_HOSTNAME}" export OIDC_ISSUER_URL=OIDC_ISSUER_URL export COSIGN_FULCIO_URL="https://fulcio.${BASE_HOSTNAME}" export COSIGN_REKOR_URL="https://rekor.${BASE_HOSTNAME}" export COSIGN_MIRROR=$TUF_URL export COSIGN_ROOT=$TUF_URL/root.json export COSIGN_OIDC_CLIENT_ID="trusted-artifact-signer" export COSIGN_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_CERTIFICATE_OIDC_ISSUER=$OIDC_ISSUER_URL export COSIGN_YES="true" export SIGSTORE_FULCIO_URL=$COSIGN_FULCIO_URL export SIGSTORE_OIDC_ISSUER=$COSIGN_OIDC_ISSUER export SIGSTORE_REKOR_URL=$COSIGN_REKOR_URL export REKOR_REKOR_SERVER=$COSIGN_REKOR_URLBASE_HOSTNAME_OF_RHTAS_SERVICE は
tas_single_node_base_hostname変数の値に置き換え、OIDC_ISSUER_URL は OpenID Connect (OIDC) プロバイダーの URL 文字列に置き換えます。The Update Framework (TUF) システムを初期化します。
例
cosign initializeテストコンテナーイメージに署名します。
空のコンテナーイメージを作成します。
例
echo "FROM scratch" > ./tmp.Dockerfile podman build . -f ./tmp.Dockerfile -t ttl.sh/rhtas/test-image:1h空のコンテナーイメージを
ttl.sh一時レジストリーにプッシュします。例
podman push ttl.sh/rhtas/test-image:1hコンテナーイメージに署名します。
構文
cosign sign -y IMAGE_NAME:TAG例
cosign sign -y ttl.sh/rhtas/test-image:1hWeb ブラウザーが開いて、コンテナーイメージをメールアドレスで署名できます。
一時的な Docker ファイルを削除します。
例
rm ./tmp.Dockerfile
predicate.jsonファイルを作成します。例
{ "builder": { "id": "https://localhost/dummy-id" }, "buildType": "https://example.com/tekton-pipeline", "invocation": {}, "buildConfig": {}, "metadata": { "completeness": { "parameters": false, "environment": false, "materials": false }, "reproducible": false }, "materials": [] }スキーマレイアウトの詳細は、SLSA provenance predicate specifications を参照してください。
predicate.jsonファイルをコンテナーイメージに関連付けます。構文
cosign attest -y --predicate ./predicate.json --type slsaprovenance IMAGE_NAME:TAG例
cosign attest -y --predicate ./predicate.json --type slsaprovenance ttl.sh/rhtas/test-image:1hコンテナーイメージにアテステーションと署名が 1 つ以上含まれていることを確認します。
構文
cosign tree IMAGE_NAME:TAG例
cosign tree ttl.sh/rhtas/test-image:1h 📦 Supply Chain Security Related artifacts for an image: ttl.sh/rhtas/test-image@sha256:7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35 └── 💾 Attestations for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.att └── 🍒 sha256:40d94d96a6d3ab3d94b429881e1b470ae9a3cac55a3ec874051bdecd9da06c2e └── 🔐 Signatures for an image tag: ttl.sh/rhtas/test-image:sha256-7de5fa822a9d1e507c36565ee0cf50c08faa64505461c844a3ce3944d23efa35.sig └── 🍒 sha256:f32171250715d4538aec33adc40fac2343f5092631d4fc2457e2116a489387b7Enterprise Contact を使用してコンテナーイメージを確認します。
構文
ec validate image --image IMAGE_NAME:TAG --certificate-identity-regexp 'SIGNER_EMAIL_ADDR' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes例
ec validate image --image ttl.sh/rhtas/test-image:1h --certificate-identity-regexp 'jdoe@example.com' --certificate-oidc-issuer-regexp 'keycloak-keycloak-system' --output yaml --show-successes success: true successes: - metadata: code: builtin.attestation.signature_check msg: Pass - metadata: code: builtin.attestation.syntax_check msg: Pass - metadata: code: builtin.image.signature_check msg: Pass ec-version: v0.1.2427-499ef12 effective-time: "2024-01-21T19:57:51.338191Z" key: "" policy: {} success: trueエンタープライズコントラクトは、セキュリティー違反の詳細を含む pass-fail レポートを生成します。
--infoフラグを追加すると、レポートには、検出された違反に対する詳細と考えられる解決策が含まれます。
関連情報
- 詳細は、Conforma の Web サイト を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}