Alauda DevOps Pipelines Docs
简体中文

核心概念

目录

供应链安全

供应链安全指的是保护从开发到部署的软件开发生命周期的完整性、安全性和可靠性。Tekton Chains 旨在通过提供机制来验证 CI/CD 流水线生成的工件未被篡改且可信,从而解决供应链安全问题。

SLSA 框架

SLSA(Supply-chain Levels for Software Artifacts)是一种安全框架,提供防止篡改、提升完整性以及保护包和基础设施的标准和控制清单。Tekton Chains 支持多种 SLSA 来源格式:

  • SLSA v0.2:通过 slsa/v1in-toto 格式支持
  • SLSA v1.0:通过 slsa/v2alpha3slsa/v2alpha4 格式支持

作为该框架的一部分,SLSA 设有多个保障等级。这些等级包含业界认可的最佳实践,形成四个逐级提升保障的等级。

安全等级

路径/等级要求关注点
Build L0(无)(不适用)
Build L1显示包构建方式的来源错误、文档
Build L2签名的来源,由托管构建平台生成构建后篡改
Build L3加固的构建平台构建期间篡改

Tekton 可实现 SLSA Level 2 合规。更多信息请参见 使用 Tekton 和 Tekton Chains 达到 SLSA Level 2

签名

签名是对来源进行加密签名以确保其完整性和真实性的过程。Tekton Chains 支持多种签名方法:

  • x509:使用标准 x509 证书和私钥
  • Cosign:使用 Sigstore 的 Cosign 工具进行签名
  • KMS:使用云提供商的密钥管理服务
  • Keyless:使用 Fulcio 证书机构的临时密钥

镜像证明

镜像证明用于存储和验证与镜像相关的元数据信息。它提供更丰富的供应链安全信息,例如:

SLSA 来源

SLSA 来源 是包含可验证软件工件信息的元数据,描述了软件如何构建、使用了哪些源代码以及由谁构建。在 Tekton Chains 中,来源通过加密签名确保其完整性和真实性。

Tekton Chains 中有两种来源类型:

  • 任务级来源:捕获特定 TaskRun 执行的详细信息
  • 流水线级来源:捕获整个 PipelineRun 执行,包括所有子 TaskRun

SBOM(软件物料清单)

SBOM 是软件的嵌套清单,列出组成软件组件的“成分”,包括:

  • 软件组件
  • 组件版本
  • 许可证信息
  • 依赖关系

SBOM 可采用多种格式,例如:

漏洞扫描结果

Cosign 漏洞扫描结果 记录软件构建过程的安全评估,包括:

  • 扫描器信息(名称、版本)
    • 漏洞数据库信息
  • 发现的漏洞列表及其严重程度
  • 修复建议

自定义元数据

可根据需要添加自定义元数据以支持特定的安全需求。

例如,grype 可以生成漏洞扫描结果,这些结果可以作为自定义类型上传到镜像仓库。

证明验证

验证机制高度灵活,可自定义以验证证明中存在的任何元数据。这意味着证明中存储的任何信息都可以作为验证标准,使组织能够根据其具体需求实施精确的安全控制。

证明验证的灵活性通过多种验证方法体现:

  • Kyverno JMESPath 验证

    • 使用 JMESPath 语法进行 JSON 查询和验证

  • Rego 策略验证

    • 利用 Open Policy Agent (OPA) 实现复杂策略执行
    • 支持声明式策略规则和自定义验证逻辑
    • 示例:验证构建者信息和构建环境

  • CUE 验证

    • 提供类型系统和约束系统进行验证
    • 支持模式验证和数据一致性检查
    • 支持复杂数据结构验证

工件

Tekton Chains 中的工件指构建过程的输入和输出:

  • 输入工件:影响构建过程的资源,如源代码仓库和依赖项
  • 输出工件:构建过程产生的资源,如容器镜像

类型提示

类型提示是 Tekton Chains 用于理解 TaskRun 或 PipelineRun 的输入和输出工件的机制。类型提示是遵循特定格式的特殊命名参数或结果:

  • Git 输入:CHAINS-GIT_URLCHAINS-GIT_COMMIT
  • 通用输入:带有后缀 ARTIFACT_INPUTS 的参数或结果
  • 镜像输出:IMAGES 或带有后缀 IMAGE_URLIMAGE_DIGEST 的参数/结果
  • 通用输出:带有后缀 ARTIFACT_OUTPUTS 的参数或结果

存储后端

存储后端是 Tekton Chains 存储生成的来源和签名的位置。支持的后端包括:

  • Tekton:作为 TaskRun/PipelineRun 的注解存储
  • OCI:与容器镜像一起存储在 OCI 注册表中
  • GCS:存储在 Google Cloud Storage
  • DocDB:存储在文档数据库中
  • Grafeas:存储在 Grafeas/Container Analysis 中

控制器

Tekton Chains 控制器是核心组件,负责观察 TaskRun 和 PipelineRun 的执行,捕获相关信息,并生成、签名和存储来源。它作为 Kubernetes 部署运行在 tekton-pipelines 命名空间中。