Red Hat Summit2.2. SBOM을 다운로드하거나 볼 수 있도록 OpenShift Pipelines 설정
PipelineRun 세부 정보 페이지에서는 SBOM(Software bill of materials)을 다운로드하거나 볼 수 있는 옵션을 제공하여 공급망 내 투명성과 제어를 강화할 수 있습니다. SBOM은 구성 요소에서 사용하는 모든 소프트웨어 라이브러리를 나열합니다. 이러한 라이브러리는 특정 기능을 활성화하거나 개발을 용이하게 할 수 있습니다.
SBOM을 사용하여 소프트웨어의 구성을 더 잘 이해하고 취약점을 식별하고 발생할 수 있는 보안 문제의 잠재적 영향을 평가할 수 있습니다.
그림 2.4. SBOM을 다운로드하거나 볼 수 있는 옵션
사전 요구 사항
- 웹 콘솔에 로그인했습니다.
- 프로젝트에 OpenShift Container Platform에서 애플리케이션 및 기타 워크로드를 생성할 적절한 역할과 권한이 있습니다.
프로세스
- 개발자 또는 관리자 관점에서 SBOM의 시각적 표현이 필요한 관련 프로젝트로 전환합니다.
다음 형식으로 작업을 추가하여 SBOM 정보를 보거나 다운로드합니다.
SBOM 작업 예
apiVersion: tekton.dev/v1 kind: Task metadata: name: sbom-task1 annotations: task.output.location: results2 task.results.format: application/text task.results.key: LINK_TO_SBOM3 task.results.type: external-link4 spec: results: - description: Contains the SBOM link5 name: LINK_TO_SBOM steps: - name: print-sbom-results image: quay.io/image6 script: |7 #!/bin/sh syft version syft quay.io/<username>/quarkus-demo:v2 --output cyclonedx-json=sbom-image.json echo 'BEGIN SBOM' cat sbom-image.json echo 'END SBOM' echo 'quay.io/user/workloads/<namespace>/node-express/node-express:build-8e536-1692702836' | tee $(results.LINK_TO_SBOM.path)8 새로 생성된 SBOM 작업을 참조하도록 Pipeline을 업데이트합니다.
... spec: tasks: - name: sbom-task taskRef: name: sbom-task1 results: - name: IMAGE_URL2 description: url value: <oci_image_registry_url>3 - 영향을 받는 OpenShift 파이프라인을 다시 실행합니다.
2.2.1. 웹 UI에서 SBOM 보기
사전 요구 사항
- SBOM을 다운로드하거나 볼 수 있도록 OpenShift Pipelines를 설정해야 합니다.
프로세스
-
활동
PipelineRuns 탭으로 이동합니다. - 보려는 SBOM이 있는 프로젝트의 경우 최신 파이프라인 실행을 선택합니다.
PipelineRun세부 정보 페이지에서 SBOM 보기를 선택합니다.-
웹 브라우저를 사용하여 SBOM에서 소프트웨어 공급망의 취약점을 나타내는 용어를 즉시 검색할 수 있습니다. 예를 들어
log4j를 검색해 보십시오. - 다운로드를 선택하여 SBOM을 다운로드하거나 Expand 를 선택하여 전체 화면을 볼 수 있습니다.
-
웹 브라우저를 사용하여 SBOM에서 소프트웨어 공급망의 취약점을 나타내는 용어를 즉시 검색할 수 있습니다. 예를 들어
2.2.2. CLI에서 SBOM 다운로드
사전 요구 사항
- Cosign CLI 툴을 설치했습니다. Cosign 툴 설치에 대한 자세한 내용은 Cosign의 Sigstore 설명서를 참조하십시오.
- SBOM을 다운로드하거나 볼 수 있도록 OpenShift Pipelines를 설정해야 합니다.
프로세스
- 터미널을 열고 개발자 또는 관리자 화면에 로그인한 다음 관련 프로젝트로 전환합니다.
OpenShift 웹 콘솔에서
다운로드 sbom명령을 복사하여 터미널에서 실행합니다.cosign 명령 예
$ cosign download sbom quay.io/<workspace>/user-workload@sha256(선택 사항) 검색 가능한 형식으로 전체 SBOM을 보려면 다음 명령을 실행하여 출력을 리디렉션합니다.
cosign 명령 예
$ cosign download sbom quay.io/<workspace>/user-workload@sha256 > sbom.txt
2.2.3. SBOM 읽기
SBOM에서 다음 샘플 발췌 내용에서 볼 수 있듯이 프로젝트에서 사용하는 각 라이브러리의 4가지 특성을 확인할 수 있습니다.
- 작성자 또는 게시자
- 이름
- 해당 버전
- 라이센스
이 정보는 개별 라이브러리가 안전하게 소싱, 업데이트 및 준수하는지 확인하는 데 도움이 됩니다.
SBOM 예
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"serialNumber": "urn:uuid:89146fc4-342f-496b-9cc9-07a6a1554220",
"version": 1,
"metadata": {
...
},
"components": [
{
"bom-ref": "pkg:pypi/flask@2.1.0?package-id=d6ad7ed5aac04a8",
"type": "library",
"author": "Armin Ronacher <armin.ronacher@active-4.com>",
"name": "Flask",
"version": "2.1.0",
"licenses": [
{
"license": {
"id": "BSD-3-Clause"
}
}
],
"cpe": "cpe:2.3:a:armin-ronacher:python-Flask:2.1.0:*:*:*:*:*:*:*",
"purl": "pkg:pypi/Flask@2.1.0",
"properties": [
{
"name": "syft:package:foundBy",
"value": "python-package-cataloger"
...
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}