Alauda DevOps Pipelines Docs
  • Русский

    • Подписанный Provenance

    Это руководство помогает новым пользователям быстро настроить Tekton Chains для защиты своих CI/CD pipelines путем генерации и проверки SLSA Provenance для Tekton PipelineRuns.

    Содержание

    ВведениеСценарии использованияОценочное время чтенияВажные примечанияПредварительные требованияОбзор процессаПошаговые инструкцииШаг 1: Сгенерировать ключи подписиШаг 2: Настроить аутентификациюШаг 3: Настроить Tekton ChainsШаг 4: Создать пример pipelineШаг 5: Запустить пример pipelineШаг 6: Дождаться подписи PipelineRunШаг 7: Получить образ из PipelineRunШаг 8: Проверка образа и attestationОжидаемые результатыСсылки

    Введение

    Сценарии использования

    Tekton Chains помогает защитить цепочку поставки программного обеспечения, автоматически генерируя SLSA Provenance для ваших артефактов сборки. В этом руководстве показано, как настроить Tekton Chains, сгенерировать ключ подписи, запустить пример pipeline и проверить его SLSA Provenance.

    Оценочное время чтения

    15–20 минут

    Важные примечания

    • Tekton Chains по умолчанию устанавливается в namespace tekton-pipelines при использовании Alauda Devops Pipelines Operator
    • Ключи подписи следует хранить безопасно; в production-средах рассмотрите использование системы управления ключами (KMS)
    • В этом руководстве используется упрощенный workflow, в котором Containerfile генерируется inline внутри pipeline
    • В production-средах следует использовать надлежащее управление исходным кодом и контроль версий

    Предварительные требования

    • Kubernetes cluster, в котором установлены Tekton Pipelines и Tekton Chains
    • Registry с включенной возможностью push образов
    • Установленный и настроенный для доступа к вашему cluster CLI-инструмент kubectl
    • Установленный CLI-инструмент cosign
    • Установленный CLI-инструмент jq

    Обзор процесса

    ШагОперацияОписание
    1Сгенерировать ключи подписиСоздать пару ключей для подписи артефактов с помощью cosign
    2Настроить аутентификациюНастроить учетные данные registry для push образов
    3Настроить Tekton ChainsНастроить Chains на использование OCI storage и подписи
    4Создать пример pipelineСоздать определение pipeline с необходимыми tasks и workspaces
    5Запустить пример pipelineСоздать и запустить PipelineRun с надлежащей конфигурацией
    6Дождаться подписиДождаться, пока PipelineRun будет подписан Chains
    7Получить информацию об образеИзвлечь URI и digest образа из PipelineRun
    8Проверить подписиПроверить подпись образа и attestation SLSA provenance

    Пошаговые инструкции

    Шаг 1: Сгенерировать ключи подписи

    TIP

    Для получения дополнительных сведений см. Signing Key Configuration

    Tekton Chains использует криптографические ключи для подписи артефактов. По умолчанию он ищет secret с именем signing-secrets в namespace Chains.

    1. Установите cosign, если вы еще этого не сделали

    2. Сгенерируйте пару ключей и сохраните ее как Kubernetes secret:

      $ COSIGN_PASSWORD={password} cosign generate-key-pair k8s://tekton-pipelines/signing-secrets

Successfully created secret signing-secrets in namespace tekton-pipelines
Public key written to cosign.pub
      TIP

      Этот пароль будет храниться в Kubernetes secret с именем signing-secrets в namespace tekton-pipelines.

    3. Проверьте, что secret был создан:

      $ kubectl get secret signing-secrets -n tekton-pipelines

NAME              TYPE     DATA   AGE
signing-secrets   Opaque   3      3m

    Шаг 2: Настроить аутентификацию

    TIP

    Для получения дополнительных сведений см. Authentication for Chains

    Настройте учетные данные registry для push образов:

    1. Создайте secret с учетными данными:

      $ kubectl create secret docker-registry registry-credentials \
  --docker-server=<gcr.io> \
  --docker-username=<username> \
  --docker-email=<email> \
  --docker-password=<password> \
  -n $NAMESPACE

    2. Установите ключ config.json:

      $ DOCKER_CONFIG=$(kubectl get secret -n $NAMESPACE $REGISTRY_CREDENTIALS -o jsonpath='{.data.\.dockerconfigjson}')
$ kubectl patch secret -n $NAMESPACE $REGISTRY_CREDENTIALS -p "{\"data\":{\"config.json\":\"$DOCKER_CONFIG\"}}"

    3. Примените patch к service account, чтобы использовать secret:

      $ kubectl patch serviceaccount $SERVICE_ACCOUNT_NAME \
  -p "{\"secrets\": [{\"name\": \"registry-credentials\"}]}" -n $NAMESPACE

    Шаг 3: Настроить Tekton Chains

    TIP

    Для получения дополнительных сведений см. Chains Configuration

    Настройте Tekton Chains для хранения артефактов в формате OCI:

    $ kubectl patch tektonconfigs.operator.tekton.dev config --type=merge -p='{
  "spec": {
    "chain": {
      "artifacts.oci.format": "simplesigning",
      "artifacts.oci.storage": "oci",
      "artifacts.pipelinerun.format": "in-toto",
      "artifacts.pipelinerun.storage": "oci",
      "artifacts.taskrun.format": "in-toto",
      "artifacts.taskrun.storage": "oci"
    }
  }
}'

    Шаг 4: Создать пример pipeline

    Это ресурс Pipeline, который используется для сборки образа и генерации attestation SLSA Provenance.

    apiVersion: tekton.dev/v1
kind: Pipeline
metadata:
  name: chains-demo-1
spec:
  params:
    - default: |-
        echo "Generate a Containerfile for building an image."

        cat << 'EOF' > Containerfile
        FROM ubuntu:latest
        ENV TIME=1
        EOF

        echo -e "\nContainerfile contents:"
        echo "-------------------"
        cat Containerfile
        echo "-------------------"
        echo -e "\nContainerfile generated successfully!"
      description: A script to generate a Containerfile for building an image.
      name: generate-containerfile
      type: string
    - default: <registry>/test/chains/demo-1:latest
      description: The target image address built
      name: image
      type: string
  tasks:
    - name: generate-containerfile
      params:
        - name: script
          value: $(params.generate-containerfile)
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: run-script
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
    - name: build-image
      params:
        - name: IMAGES
          value:
            - $(params.image)
        - name: TLS_VERIFY
          value: "false"
      runAfter:
        - generate-containerfile
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: buildah
          - name: version
            value: "0.9"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: registryconfig
          workspace: registryconfig
  results:
    - description: first image artifact output
      name: first_image_ARTIFACT_OUTPUTS
      type: object
      value:
        digest: $(tasks.build-image.results.IMAGE_DIGEST)
        uri: $(tasks.build-image.results.IMAGE_URL)
  workspaces:
    - name: source
      description: The workspace for source code.
    - name: registryconfig
      description: The workspace for distribution registry configuration.
    TIP

    В production-средах следует:

    1. Использовать task git-clone для получения исходного кода из вашего repository
    2. Собирать образ с использованием Containerfile, который находится в вашем исходном коде
    3. Такой подход обеспечивает надлежащий контроль версий и сохраняет разделение между code и pipeline configuration
    Пояснение полей YAML
    • params: Параметры pipeline.
      • generate-containerfile: Скрипт для генерации Containerfile для сборки образа.
      • image: Адрес целевого образа, который будет собран.
    • tasks: Tasks pipeline.
      • generate-containerfile: Task для генерации Containerfile для сборки образа.
      • build-image: Task для сборки и отправки образа в registry.
        • params.TLS_VERIFY: Нужно ли проверять TLS-сертификат registry.
    • results: Результаты pipeline.
      • first_image_ARTIFACT_OUTPUTS: Результат первого артефакта образа.
        • digest: Digest образа.
        • uri: URI образа.
      • Этот формат совместим с Tekton Chains, см. Tekton Chains Type Hinting в разделе выше для получения дополнительных сведений.
    • workspaces: Workspaces pipeline.
      • source: Workspace для исходного кода.
      • registryconfig: Workspace для конфигурации distribution registry.

    Требуется настроить конфигурацию

    • params:
      • generate-containerfile
        • default: Настройте адрес образа from.
      • image:
        • default: Адрес целевого образа, который будет собран.

    Сохраните это в yaml-файл с именем chains.demo-1.pipeline.yaml и примените его с помощью:

    $ export NAMESPACE=<default>
$ kubectl apply -n $NAMESPACE -f chains.demo-1.pipeline.yaml

    Шаг 5: Запустить пример pipeline

    Это ресурс PipelineRun, который используется для запуска pipeline.

    apiVersion: tekton.dev/v1
kind: PipelineRun
metadata:
  generateName: chains-demo-1-
spec:
  pipelineRef:
    name: chains-demo-1
  taskRunTemplate:
    serviceAccountName: <default>
  workspaces:
    - name: registryconfig
      secret:
        secretName: <registry-credentials>
    - name: source
      volumeClaimTemplate:
        spec:
          accessModes:
            - ReadWriteOnce
          resources:
            requests:
              storage: 1Gi
          storageClassName: <nfs>
    Пояснение полей YAML
    • pipelineRef: Pipeline, который нужно запустить.
      • name: Имя pipeline.
    • taskRunTemplate: Шаблон task run.
      • serviceAccountName: Service account, который будет использоваться для pipeline.
    • workspaces: Workspaces pipeline.
      • registryconfig: Workspace для конфигурации distribution registry.
      • source: Workspace для исходного кода.

    Требуется настроить конфигурацию

    • taskRunTemplate:
    • workspaces:
      • registryconfig:
      • source:
        • volumeClaimTemplate.spec.storageClassName: Имя storage class для шаблона volume claim.

    Сохраните это в yaml-файл с именем chains.demo-1.pipelinerun.yaml и примените его с помощью:

    $ export NAMESPACE=<default>

# create the pipeline run resource in the namespace
$ kubectl create -n $NAMESPACE -f chains.demo-1.pipelinerun.yaml

    Дождитесь завершения PipelineRun.

    $ kubectl get pipelinerun -n $NAMESPACE -w

chains-demo-1-<xxxxx>   True        Succeeded   2m         2m

    Шаг 6: Дождаться подписи PipelineRun

    Дождитесь, пока у PipelineRun появится аннотация chains.tekton.dev/signed: "true".

    $ export NAMESPACE=<default>
$ export PIPELINERUN_NAME=<chains-demo-1-xxxxx>

$ kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o yaml | grep "chains.tekton.dev/signed"

    chains.tekton.dev/signed: "true"

    Когда у PipelineRun есть аннотация chains.tekton.dev/signed: "true", это означает, что образ подписан.

    Шаг 7: Получить образ из PipelineRun

    # Get the image URI
$ export IMAGE_URI=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.uri}')

# Get the image digest
$ export IMAGE_DIGEST=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.digest}')

# Combine the image URI and digest to form the full image reference
$ export IMAGE=$IMAGE_URI@$IMAGE_DIGEST

# Print the image reference
$ echo $IMAGE

<registry>/test/chains/demo-1:latest@sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046

    Этот образ будет использован для проверки подписи.

    Шаг 8: Проверка образа и attestation

    1. Получите открытый ключ подписи

      Если у вас нет прав доступа, вы можете попросить администратора получить открытый ключ.

      $ export NAMESPACE=<tekton-pipelines>
$ kubectl get secret -n $NAMESPACE signing-secrets -o jsonpath='{.data.cosign\.pub}' | base64 -d > cosign.pub

    2. Проверьте подпись

      $ cosign verify --key cosign.pub ${IMAGE}

      Если операция выполнится успешно, вы увидите следующий вывод:

      [{"critical":{"identity":{"docker-reference":"<registry>/test/chains/demo-1"},"image":{"docker-manifest-digest":"sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046"},"type":"cosign container image signature"},"optional":null}]

    3. Проверьте attestation SLSA provenance

      $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE}

      Если операция выполнится успешно, вы увидите следующий вывод:

      Verification for <registry>/test/chains/demo-1:latest --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key

{"payloadType":"application/vnd.in-toto+json","payload":"...","signatures":[{"keyid":"SHA256:B8CzieJ9/kKhU9hiIPXY+dvvz9DLVOQ3XokyYLdladc","sig":"MEQCIEeS/gGpMV4Y22pYJw3hTyCg92KXACAYvnDwm3fzPxyLAiA3cDP6zjCfaVrf35wED1ylSUdsEJzwlXDCvj2i2A6BYg=="}]}

    4. Извлеките payload с помощью jq:

      $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE} | jq '.payload | @base64d' | jq -r '.' | jq '.'
      Payload attestation
       {
   "_type": "https://in-toto.io/Statement/v0.1",
   "subject": [
     {
       "name": "<registry>/test/chains/demo-1",
       "digest": {
         "sha256": "213a270c14f88abdd283f4ceaf8a8a73f5f8b5c2303609295680a6e751ef6f0f"
       }
     }
   ],
   "predicateType": "https://slsa.dev/provenance/v0.2",
   "predicate": {
     "buildConfig": {
       "steps": [
         {
           "annotations": null,
           "arguments": [
             "--images",
             "<registry>/test/chains/demo-1:latest",
             "--build-args",
             ""
           ],
           "entryPoint": "",
           "environment": {
             "container": "build-and-push",
             "image": "oci://<registry>/devops/tektoncd/hub/buildah@sha256:8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
           }
         }
       ]
     },
     "buildType": "tekton.dev/v1beta1/TaskRun",
     "builder": {
       "id": "https://alauda.io/builders/tekton/v1"
     },
     "invocation": {
       "configSource": {
         "digest": {
           "sha256": "3225653d04c223be85d173747372290058a738427768c5668ddc784bf24de976"
         },
         "uri": "http://tekton-hub-api.tekton-pipelines:8000/v1/resource/catalog/task/buildah/0.9/yaml"
       },
       "environment": {
         "annotations": {
           "cpaas.io/creator": "admin@cpaas.io",
           "cpaas.io/operator": "admin@cpaas.io",
           "cpaas.io/updated-at": "2025-06-16T06:04:04Z",
           "pipeline.tekton.dev/affinity-assistant": "affinity-assistant-691f2fff6f",
           "pipeline.tekton.dev/release": "002f74eea37b0f5dbcfed39c13d7cd762c8fcdc4",
           "tekton.dev/categories": "Image Build",
           "tekton.dev/displayName": "Buildah",
           "tekton.dev/icon": "",
           "tekton.dev/pipelines.minVersion": "0.56.0",
           "tekton.dev/platforms": "linux/amd64,linux/arm64",
           "tekton.dev/tags": "image-build"
         },
         "labels": {
           "app.kubernetes.io/managed-by": "tekton-pipelines",
           "app.kubernetes.io/version": "0.9",
           "tekton.dev/memberOf": "tasks",
           "tekton.dev/pipeline": "chains-demo-1",
           "tekton.dev/pipelineRun": "chains-demo-1-zp9tk",
           "tekton.dev/pipelineRunUID": "ad8234b8-19a6-4c5c-b2fd-5673444aeda8",
           "tekton.dev/pipelineTask": "build-image",
           "tekton.dev/task": "buildah"
         }
       },
       "parameters": {
         "BUILDER_IMAGE": "<registry>/devops/tektoncd/hub/buildah:v1.33.12-v4.0.0-beta.240.g2b61d46",
         "BUILD_ARGS": [
           ""
         ],
         "BUILD_EXTRA_ARGS": "",
         "CONTEXT": ".",
         "CONTAINERFILE": "./Containerfile",
         "FORMAT": "oci",
         "IMAGES": [
           "<registry>/test/chains/demo-1:latest"
         ],
         "PUSH_EXTRA_ARGS": "",
         "SKIP_PUSH": "false",
         "STORAGE_DRIVER": "vfs",
         "TLS_VERIFY": "false",
         "VERBOSE": "false"
       }
     },
     "materials": [
       {
         "digest": {
           "sha256": "8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
         },
         "uri": "oci://<registry>/devops/tektoncd/hub/buildah"
       }
     ],
     "metadata": {
       "buildFinishedOn": "2025-06-16T06:04:41Z",
       "buildStartedOn": "2025-06-16T06:04:15Z",
       "completeness": {
         "environment": false,
         "materials": false,
         "parameters": false
       },
       "reproducible": false
     }
   }
 }

    Ожидаемые результаты

    После выполнения этого руководства:

    • У вас будет рабочая конфигурация Tekton Chains с ключом подписи
    • Ваши PipelineRuns будут автоматически подписываться после завершения, а образ будет иметь attestation SLSA Provenance
    • Вы сможете проверять подписи и attestations, чтобы убедиться в целостности ваших сборок

    Это руководство создает основу для внедрения безопасности цепочки поставки в ваши CI/CD pipelines. В production-среде следует:

    1. Использовать надлежащее управление исходным кодом и контроль версий
    2. Реализовать безопасное управление ключами с использованием cloud KMS
    3. Настроить автоматическую проверку в процессе deployment
    4. Настроить надлежащие механизмы контроля доступа и политики безопасности
    5. Регулярно ротировать ключи подписи и обновлять настройки безопасности

    Ссылки