Compartir comentarios
Las respuestas se generan en base a la documentación.

Procedencia de la imagen

Tabla de contenidos

¿Qué es la procedencia de la imagen?

La procedencia de la imagen se refiere a los metadatos que rastrean el origen, la autoría y la integridad de una imagen de contenedor. Responde a preguntas críticas como:

  • ¿De dónde proviene esta imagen?
  • ¿Quién la construyó?
  • ¿Ha sido manipulada?

La procedencia establece una cadena de custodia, ayudándote a verificar que la imagen que estás utilizando es el resultado de un proceso de construcción confiable y verificable.

Por qué es importante la procedencia de la imagen

La procedencia es fundamental para asegurar tu cadena de suministro de software. Sin ella, corres el riesgo de:

  • Ejecutar imágenes no verificadas o maliciosas
  • No cumplir con los requisitos de conformidad regulatorios o internos
  • Perder visibilidad sobre los componentes y flujos de trabajo que producen tus contenedores

Con una procedencia confiable, obtienes:

  • Confianza: Saber que tus imágenes son auténticas y no han cambiado.
  • Trazabilidad: Entender todo el proceso de construcción y las entradas de origen.
  • Auditabilidad: Proporcionar pruebas verificables de cumplimiento e integridad de la construcción.

La procedencia también admite la aplicación automatizada de políticas y es un requisito clave para marcos como SLSA (Supply-chain Levels for Software Artifacts).

Cómo admiten la procedencia las Docker Hardened Images

Las Docker Hardened Images (DHI) están diseñadas con procedencia integrada para ayudarte a adoptar prácticas seguras por defecto y cumplir con los estándares de seguridad de la cadena de suministro.

Atestaciones

Las DHI incluyen atestaciones: metadatos legibles por máquina que describen cómo, cuándo y dónde se construyó la imagen. Se generan utilizando estándares de la industria como in-toto y se alinean con la procedencia de SLSA.

Las atestaciones te permiten:

  • Validar que las construcciones siguieron los pasos esperados
  • Confirmar que las entradas y los entornos cumplen con las políticas
  • Rastrear el proceso de construcción a lo largo de sistemas y etapas

Firma de código

Cada Docker Hardened Image está criptográficamente firmada y se almacena en el registro junto con su digest. Estas firmas son pruebas verificables de autenticidad y son compatibles con herramientas como cosign, Docker Scout y controladores de admisión de Kubernetes.

Con las firmas de imagen, puedes:

  • Confirmar que la imagen fue publicada por Docker
  • Detectar si una imagen ha sido modificada o publicada de nuevo
  • Aplicar la validación de firmas en los despliegues de producción o CI/CD

Recursos adicionales