#介绍

#Tekton Chains 介绍

Tekton Chains 是一个 Kubernetes 自定义资源定义（CRD）控制器，能够为 Tekton 管道提供供应链安全特性。它通过观察 TaskRun 和 PipelineRun 的执行，捕获相关信息，并以加密签名格式存储。这提供了所有管道活动的安全且可验证的记录，确保您的软件供应链的完整性。

Tekton Chains 建立在 Tekton Pipelines 的基础上，扩展了 CI/CD 功能，提供安全特性，使组织能够根据行业标准如 SLSA（软件工件供应链级别）实施软件供应链安全实践。

#Tekton Chains 优势

Tekton Chains 的核心优势如下：

• 安全的软件供应链

  Tekton Chains 提供了对 CI/CD 管道中产生的所有工件的加密验证，确保您的软件自构建到部署过程中没有被篡改。

• SLSA 合规性

  支持多种 SLSA 来源格式，帮助组织满足行业在供应链安全方面的标准，并实现更高等级的 SLSA 合规性。

• 无缝集成

  与 Tekton Pipelines 原生兼容，只需对现有 CI/CD 工作流进行最小的配置更改，即可添加强大的安全功能。

• 灵活的存储选项

  支持包括 Tekton、OCI 注册中心、GCS 等多种存储后端，使您能够根据组织的需求选择存储签名和证明的地方。

• 多种签名方法

  支持包括 x509、Cosign 和 KMS 系统（GCP KMS、Hashicorp Vault、AWS KMS、Azure KMS）在内的多种签名机制，为您提供灵活的供应链安全方案。

#场景

Tekton Chains 的主要应用场景如下：

• 安全的 CI/CD 管道

  组织可以使用 Tekton Chains 为现有 CI/CD 管道添加加密验证，确保所有生成的工件都是签名和可验证的。

• 合规要求

  对于需要满足软件供应链安全相关的监管或行业合规要求的组织，Tekton Chains 提供必要的证明和验证。

• 容器镜像签名

  自动对在 Tekton 管道中构建的容器镜像进行签名，确保仅已验证的镜像可以部署到生产环境。

• 来源生成

  为管道中构建的所有工件生成和签名 SLSA 来源，提供每个工件创建过程的可验证记录。

• 透明日志

  在透明日志中存储已签名的证明，例如 Rekor，使第三方能够验证您的软件供应链。

#限制

• Tekton Chains 需要适当的密钥管理来签署工件。您的供应链安全性取决于签名密钥的安全性。

• 某些功能可能需要对 OCI 注册中心或 KMS 系统等外部服务进行额外配置。

• Tekton Chains 在 TaskRuns 和 PipelineRuns 完成后才会进行观察，因此管道完成与证明可用之间可能会有稍微的延迟。