红帽全球峰会This documentation is for a release that is no longer maintained
See documentation for the latest supported version.独立 CLI
探索您可以在红帽受信任的应用程序管道中使用的独立 CLI。
摘要
前言
作为 Red Hat Trusted Application Pipeline 的一部分,可以使用几个独立的 CLI,通过其组件和相关产品。
借助独立 CLI,您可以自定义 CI 体验,并自动化和保护应用的流程。您可以通过运行增强的安全检查、签名和验证软件工件、管理遵循安全策略或生成 SBOM 来提高软件供应链安全性。
您可以将这些 CLI 工具与在 OpenShift 集群上运行的 RHTAP 实例搭配使用,或者您可以在工作站上安装它们,以更自动化和安全的方式在本地构建和测试应用程序。
第 1 章 RHTAP 独立 CLI 概述
您可以在 RHTAP 中使用五个单机 CLI。它们由作为 RHTAP 的组件或依赖项的红帽产品提供:
Red Hat Trusted Artifact Signer (RHTAS) 是一个安全工具,用来签名和对软件工件进行签名。您可以使用 Operator Lifecycle Manager 与 RHTAP 或更高版本同时安装。RHTAS 提供对这些 CLI 工具的访问:
Red Hat Trusted Profile Analyzer (RHTPA) 会自动创建软件清单(SBOM)并帮助您管理它们。您可以选择在 RHTAP 安装过程中安装 RHTPA。用于 SBOMs 生成的 CLI 工具是:
Advanced Cluster Security (ACS) 会在 RHTAP 安装过程中自动安装和配置。ACS 工具彻底扫描软件工件,以在早期阶段识别和解决漏洞。ACS 提供的 CLI 是:
要检查您的架构是否有可用的 CLI 二进制文件,请查看 Chapter 2。architectures
1.1. RHTAS 提供的 CLI
Cosign、Rekor 和 EC CLI 的二进制文件作为 RHTAS 的组件提供。安装了 RHTAS 后,您可以使用 OpenShift Web 控制台从 OpenShift 集群下载这些二进制文件。
Cosign
Co sign 是一个为容器镜像签名和验证签名的工具。
-
有关
cosign安装和使用,请参阅 使用命令行界面 RHTAS 指南中的 Cosign 来签名和验证容器。 - 有关使用 cosign 签名容器镜像的更多信息,请参阅管理 RHTAP 文档中的 企业合同合规性。
Rekor
rekor 工具是一个数据日志,它存储已签名软件工件的元数据,并为这些工件签名提供了透明度。使用 Rekor CLI,您可以在 Rekor 透明日志中进行、验证和查询条目。
-
要安装
rekor并查询透明日志,请参阅 RHTAS 部署指南中的与 Rekor 相关的程序。
EC
企业合同(EC)是一种提高软件供应链安全性的工具。您可以使用它来定义并强制实施安全策略来构建和测试容器镜像。
- 对于 EC CLI 安装和使用,请参阅使用企业合同对容器镜像验证签名。
- 如需更多信息,请参阅管理符合企业 合同 RH TAP 指南。
- 如需完整的上游企业合同文档,请参阅 community-run Enterprise Contract 文档。
1.2. 与 RHTPA 一起使用的 CLI
Syft
Syft 是一个用于为容器镜像或本地文件系统生成 Software Bill of Materials (SBOM)的 CLI 工具。它提供有关软件或文件系统的软件包、库和依赖项的详细信息。软件组成的透明度可帮助您保护软件供应链并管理漏洞。
Syft 通过 红帽生态系统目录 作为独立容器镜像进行分发。容器镜像可用于 Linux 上的 AMD64 架构。
- 要下载 Syft 镜像,请查看 Get this image 指令。
- 要在 AMD64 以外的构架上使用 Syft,请安装 Syft 的上游版本。
- 要使用 Syft 创建 SBOMs ,请参阅创建软件清单文件。
- 要检查和管理 SBOMs,请参阅使用 Red Hat Trusted Profile Analyzer 检查您的 SBOM。
1.3. 与 ACS 一起使用的 CLI
roxctl
roxctl 是一个执行全面安全检查的 CLI 工具。此工具可通过 ACS 供 RHTAP 用户使用。RHTAP 管道可以运行三个 任务: roxctl 可以扫描容器镜像是否有漏洞,并检查容器镜像和 YAML 部署文件中的安全策略的构建时间违反情况。
roxctl
-
要了解更多有关 RHTAP 管道运行中的
roxctl任务的信息,请参阅 Red Hat Advanced Cluster Security tasks。 -
要安装
roxctl二进制文件,请参阅 ACS 文档中的 roxctl CLI 指南。
第 2 章 构架
RHTAP 独立 CLI 可用于这些架构:
| 构架 | Cosign, Rekor, EC, roxctl | Syft |
|---|---|---|
| Linux | ||
| x86_64 | 是 | 是 |
| arm64 | 是 | |
| ppc64le | 是 | |
| s390x | 是 | |
| MacOS | ||
| x86_64 | 是 | |
| arm64 | 是 | |
| Windows | ||
| x86_64 | 是 | |
要在 Linux 上 x86_64 以外的构架上使用 Syft,请安装 Syft 的上游版本。
更新于 2025-02-07
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}