Compartir comentarios
Las respuestas se generan en base a la documentación.

Laboratorio: Atestaciones de imágenes de contenedores

Tabla de contenidos

Demuestra de dónde provienen tus imágenes de contenedor y que no han sido manipuladas. Este laboratorio te guiará a través de la generación de SBOMs y procedencia de construcción SLSA con BuildKit, la firma de imágenes con Cosign y la redacción de declaraciones VEX para indicar qué CVEs afectan a tu imagen; las técnicas utilizadas para cumplir con los requisitos de seguridad de la cadena de suministro como NIST SSDF y EO 14028.

Iniciar el laboratorio

  1. Inicia el labspace:

    $ docker compose -p labspace -f oci://dockersamples/labspace-attestation-basics up -d

  2. Abre tu navegador en http://localhost:3030.

  3. Cuando hayas terminado, elimina el labspace:

    $ docker compose -p labspace down

Qué aprenderás

Al final de este Labspace, habrás completado lo siguiente:

  • Generar e inspeccionar un SBOM SPDX adjunto a una imagen de contenedor usando --sbom=true.
  • Generar procedencia de construcción SLSA con --provenance=mode=max y comprender cómo se registran por completo las construcciones multi-etapa.
  • Instalar Cosign y utilizar firmas basadas en claves para firmar y verificar una imagen de contenedor.
  • Escribir una declaración de OpenVEX para indicar el estado de explotabilidad de un CVE y adjuntarla como una atestación firmada.
  • Comprender cómo el SBOM, la procedencia, las firmas y VEX se complementan entre sí en una historia completa de la cadena de suministro.

Módulos

#MóduloDescripción
1IntroducciónDescripción general de las atestaciones de la cadena de suministro y la aplicación Go de ejemplo
2Lista de materiales de software (SBOM)Construir con --sbom=true, inspeccionar el contenido de SPDX y comprender la integración con escáneres
3Procedencia de la construcciónGenerar procedencia SLSA y explorar cómo se registran las construcciones multi-etapa
4Firmar imágenes con CosignGenerar un par de claves, firmar la imagen, verificar la firma y aprender sobre la firma sin llave
5Declaraciones VEXEscanear vulnerabilidades CVE, escribir un documento OpenVEX y adjuntarlo como una atestación firmada
6Poniéndolo todo juntoEjecutar el flujo de trabajo completo de construir-firmar-atestiguar y ver la imagen completa de la cadena de suministro
7RecapitulaciónResumen de habilidades y siguientes pasos para la aplicación de políticas y niveles SLSA superiores