# Procedencia de la imagen


## ¿Qué es la procedencia de la imagen?

La procedencia de la imagen se refiere a los metadatos que rastrean el origen, la
autoría y la integridad de una imagen de contenedor. Responde a preguntas críticas como:

- ¿De dónde proviene esta imagen?
- ¿Quién la construyó?
- ¿Ha sido manipulada?

La procedencia establece una cadena de custodia, ayudándote a verificar que la imagen
que estás utilizando es el resultado de un proceso de construcción confiable y verificable.

## Por qué es importante la procedencia de la imagen

La procedencia es fundamental para asegurar tu cadena de suministro de software. Sin ella,
corres el riesgo de:

- Ejecutar imágenes no verificadas o maliciosas
- No cumplir con los requisitos de conformidad regulatorios o internos
- Perder visibilidad sobre los componentes y flujos de trabajo que producen tus contenedores

Con una procedencia confiable, obtienes:

- Confianza: Saber que tus imágenes son auténticas y no han cambiado.
- Trazabilidad: Entender todo el proceso de construcción y las entradas de origen.
- Auditabilidad: Proporcionar pruebas verificables de cumplimiento e integridad de la construcción.

La procedencia también admite la aplicación automatizada de políticas y es un requisito
clave para marcos como SLSA (Supply-chain Levels for Software Artifacts).

## Cómo admiten la procedencia las Docker Hardened Images

Las Docker Hardened Images (DHI) están diseñadas con procedencia integrada para ayudarte a
adoptar prácticas seguras por defecto y cumplir con los estándares de seguridad de la cadena
de suministro.

### Atestaciones

Las DHI incluyen [atestaciones](/dhi/core-concepts/attestations/): metadatos legibles por máquina que
describen cómo, cuándo y dónde se construyó la imagen. Se generan utilizando estándares
de la industria como [in-toto](https://in-toto.io/) y se alinean con la [procedencia
de SLSA](https://slsa.dev/spec/v1.0/provenance/).

Las atestaciones te permiten:

- Validar que las construcciones siguieron los pasos esperados
- Confirmar que las entradas y los entornos cumplen con las políticas
- Rastrear el proceso de construcción a lo largo de sistemas y etapas

### Firma de código

Cada Docker Hardened Image está criptográficamente [firmada](/dhi/core-concepts/signatures/) y se
almacena en el registro junto con su digest. Estas firmas son pruebas verificables de
autenticidad y son compatibles con herramientas como `cosign`, Docker Scout y controladores
de admisión de Kubernetes.

Con las firmas de imagen, puedes:

- Confirmar que la imagen fue publicada por Docker
- Detectar si una imagen ha sido modificada o publicada de nuevo
- Aplicar la validación de firmas en los despliegues de producción o CI/CD

## Recursos adicionales

- [Atestaciones de procedencia](/build/metadata/attestations/slsa-provenance/)
- [Firmas de imagen](/dhi/core-concepts/signatures/)
- [Descripción general de las atestaciones](/dhi/core-concepts/attestations/)