Attestations
Las build attestations te ofrecen información detallada sobre cómo se compiló una imagen y qué contiene. Estas attestations, generadas por BuildKit en tiempo de compilación, se adjuntan a la imagen final como metadatos, permitiéndote inspeccionar una imagen para ver su origen, creador y contenido. Esta información te ayuda a tomar decisiones informadas sobre la seguridad y el impacto de la imagen en tu cadena de suministro.
Docker Scout usa estas attestations para evaluar la seguridad de la imagen y su postura en la cadena de suministro, y para ofrecer recomendaciones de remediación ante problemas. Si se detectan problemas, como attestations faltantes u obsoletas, Docker Scout puede orientarte para añadirlas o actualizarlas, garantizando el cumplimiento y mejorando la visibilidad del estado de seguridad de la imagen.
Hay dos tipos clave de attestations:
- SBOM, que lista los artefactos de software dentro de la imagen.
- Provenance, que detalla cómo se compiló la imagen.
Puedes crear attestations con docker buildx build y las opciones
--provenance y --sbom. Las attestations se adjuntan al índice de imágenes,
permitiéndote inspeccionarlas sin hacer pull de la imagen completa. Docker Scout
aprovecha estos metadatos para ofrecerte recomendaciones más precisas y un mejor
control sobre la seguridad de tu imagen.