Configurando a coleção de atestados SLSA para imagens
A ferramenta tekton-chains coleta evidências das imagens construídas com atestados SLSA.
A ferramenta de cadeias de tekton monitora o estágio build-artifact do pipeline de CI e atesta as imagens construídas A ferramenta de coleta de evidências é executada para cada imagem no método list_artifacts de artefatos
salvos e coleta o atestado.. Em seguida, a ferramenta cria as evidências necessárias. Para obter mais informações, consulte list_artefatos..
A ferramenta de cadeias de tekton é implementada nos trabalhadores gerenciados da IBM por padrão Para obter informações sobre trabalhadores privados, consulte O que é o Tekton Chains?.
Parâmetros de atestado SLSA
É possível configurar os parâmetros de atestado SLSA a seguir com a ferramenta tekton-chains.
| Nome do parâmetro | Tipo | Descrição | Necessário ou Opcional |
|---|---|---|---|
slsa-attestation |
ENUM | Configure esse parâmetro para um valor de enumeração de 0 ou 1. Configure o valor como 1 para ativar a coleção de relatórios de atestado SLSA.. O valor padrão é 0 |
Obrigatório |
icr-dockerconfigjson |
SECRET | O arquivo base64-encoded Docker config.json que armazena informações de credenciais para o IBM Container Registry. Configure esse parâmetro se as imagens tiverem que ser armazenadas no IBM Container Registry. |
Opcional |
artifactory-dockerconfigjson |
SECRET | O arquivo base64-encoded Docker config.json que armazena informações de credenciais para Artifactory. Configure esse parâmetro se as imagens forem armazenadas em Artifactory ou em outros registros de contêiner. |
Opcional |
slsa-attestation-public-key |
SECRET | A chave pública base64-encoded para verificar relatórios de atestado do SLSA | Opcional |
Esses segredos podem ser criados manualmente executando:
kubectl create secret docker-registry mysecret \
--dry-run \
--docker-server=<container registry url> \
--docker-username=<username> \
--docker-password=<artifactory token> \
--docker-email=<email> \
-o yaml
Para IBM Container Registry, use iamapikey como o nome do usuário e a chave API do IBM Cloud como a senha.
Esse processo gera uma resposta semelhante ao fragmento de código a seguir:
apiVersion: v1
data:
.dockerconfigjson: <your secret>
kind: Secret
metadata:
creationTimestamp: null
name: regcred
type: kubernetes.io/dockerconfigjson
Nas propriedades de pipeline, atualize o parâmetro artifactory-dockerconfigjson ou icr-dockerconfigjson com o valor .dockerconfigjson .
Evidência e anexos
Com base nos valores configurados com base nos detalhes na tabela 2, as evidências são geradas. O pipeline DevSecOps carrega as evidências para o armário e as inclui no resumo das evidências para solicitações de alteração.
| Campo | Valor |
|---|---|
| Tipo de Ferramenta | tekton-chains |
| tipo de evidência | com.ibm.cloud.slsa |
| tipo de ativo | image |
| attachments | Attestation report generated by the tekton chains as JSON |
Depuração e criação de log
Configure o parâmetro a seguir para depuração e criação de log.
| Nome do parâmetro | Valor padrão | Descrição |
|---|---|---|
| pipeline-debug | 0 | Sinalizador de depuração 0 off; 1 on |
Acessando os resultados da varredura
É possível acessar seus resultados de varredura usando os métodos a seguir:
- Usar a CLIDevSecOps para baixar os resultados da varredura do armário de evidências usando as informações impressas no registro de estágio. Para obter mais informações, consulte os recursos a seguir: