Проверка Base Image и SBOM

Если мы хотим разрешить развертывание только определенных типов base image, мы можем сохранить эту информацию в attestation образа после ее получения.

В разделе Сканирование уязвимостей и проверка attestation в формате cosign-vuln уже включают информацию о base image. Но здесь мы будем использовать другой подход: syft для генерации SBOM для образа. Информация SBOM также включает сведения о base image.

В ACP (Alauda Container Platform) можно использовать задачу trivy или syft в Tekton Pipeline для генерации SBOM для образа. Здесь мы используем задачу syft для генерации SBOM.

Содержание

Обзор функциональности Сценарии использования Предварительные требования Обзор процесса Пошаговые инструкции Шаги 1–3: Базовая настройка Шаг 4: Создать пример pipeline Шаг 5: Запустить пример pipeline Шаг 6: Дождаться подписи PipelineRun Шаг 7: Получить образ из PipelineRun Шаг 8: (Необязательно) Получить attestation SBOM Шаг 9: Проверить информацию о base image Шаг 9.1: Создать политику Kyverno для проверки информации о base image Шаг 9.2: Проверить политику Шаг 10: Очистить ресурсы Ожидаемые результаты Ссылки

Обзор функциональности

Этот метод использует инструменты, аналогичные syft, для генерации SBOM для образа, а затем использует Kyverno для проверки SBOM:

Использовать Tekton Task syft для генерации SBOM для образа и прикрепления его к образу.
Настроить правила Kyverno для проверки SBOM.
Использовать образ для создания Pod, чтобы проверить SBOM.

Сценарии использования

Следующие сценарии требуют обращения к рекомендациям в этом документе:

Реализация проверки base image в кластерах Kubernetes с использованием Kyverno
Применение политик безопасности, разрешающих развертывание только определенных base image
Настройка автоматической генерации и проверки SBOM в CI/CD pipelines
Обеспечение соответствия base image в production-средах
Реализация мер безопасности supply chain для container images путем проверки информации об их base image

Предварительные требования

Кластер Kubernetes с установленными Tekton Pipelines, Tekton Chains и Kyverno
Registry с включенной возможностью push image
Установленный и настроенный CLI kubectl для доступа к кластеру
Установленный CLI cosign
Установленный CLI jq

Обзор процесса

Шаг	Операция	Описание
1	Сгенерировать ключи подписи	Создать пару ключей для подписи артефактов с использованием cosign
2	Настроить аутентификацию	Настроить учетные данные registry для push image
3	Настроить Tekton Chains	Настроить Chains на использование OCI storage и параметров подписи, отключить TaskRun SLSA Provenance
4	Создать пример pipeline	Создать определение pipeline с задачей syft для генерации SBOM
5	Запустить пример pipeline	Создать и запустить PipelineRun с корректной конфигурацией
6	Дождаться подписи	Дождаться, пока PipelineRun будет подписан Chains
7	Получить информацию об образе	Извлечь URI образа и digest из PipelineRun
8	(Необязательно) Получить attestation SBOM	Получить и проверить attestation SBOM
9	Проверить с помощью Kyverno	Создать и применить политику Kyverno для проверки информации о base image
10	Очистка	Удалить тестовые ресурсы и политики

Пошаговые инструкции

Шаги 1–3: Базовая настройка

Эти шаги идентичны руководству Quick Start: Signed Provenance. Следуйте инструкциям в этом руководстве для выполнения следующих действий:

Шаг 1: Сгенерировать ключи подписи
Шаг 2: Настроить аутентификацию
Шаг 3: Настроить Tekton Chains
Получить signing secret
- Важно: Это используется только для удобства, чтобы здесь применялся глобальный signing certificate Chains. В реальном использовании можно использовать отдельный сертификат для подписи информации об уязвимостях образа.
- Импортируйте secret в namespace, в котором выполняется pipeline.

Шаг 4: Создать пример pipeline

Это ресурс Pipeline, который используется для сборки образа и генерации SBOM.

apiVersion: tekton.dev/v1
kind: Pipeline
metadata:
  name: chains-demo-5
spec:
  params:
    - default: |-
        echo "Generate a Containerfile for building an image."

        cat << 'EOF' > Containerfile
        FROM ubuntu:latest
        ENV TIME=1
        EOF

        echo -e "\nContainerfile contents:"
        echo "-------------------"
        cat Containerfile
        echo "-------------------"
        echo -e "\nContainerfile generated successfully!"
      description: A script to generate a Containerfile for building an image.
      name: generate-containerfile
      type: string
    - default: <registry>/test/chains/demo-5:latest
      description: The target image address built
      name: image
      type: string
  results:
    - description: first image artifact output
      name: first_image_ARTIFACT_OUTPUTS
      type: object
      value:
        digest: $(tasks.build-image.results.IMAGE_DIGEST)
        uri: $(tasks.build-image.results.IMAGE_URL)
  tasks:
    - name: generate-containerfile
      params:
        - name: script
          value: $(params.generate-containerfile)
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: run-script
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
    - name: build-image
      params:
        - name: IMAGES
          value:
            - $(params.image)
        - name: TLS_VERIFY
          value: "false"
      runAfter:
        - generate-containerfile
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: buildah
          - name: version
            value: "0.9"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: registryconfig
          workspace: registryconfig
    - name: syft-sbom
      params:
        - name: COMMAND
          value: |-
            set -x

            mkdir -p .git

            echo "Generate sbom.json"
            syft scan $(tasks.build-image.results.IMAGE_URL)@$(tasks.build-image.results.IMAGE_DIGEST) -o cyclonedx-json=.git/sbom.json > /dev/null

            echo -e "\n\n"
            cat .git/sbom.json
            echo -e "\n\n"

            echo "Generate and Attestation sbom"
            syft attest $(tasks.build-image.results.IMAGE_URL)@$(tasks.build-image.results.IMAGE_DIGEST) -o cyclonedx-json
      runAfter:
        - build-image
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: syft
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: registryconfig
          workspace: registryconfig
        - name: signkey
          workspace: signkey
  workspaces:
    - name: source
      description: The workspace for source code.
    - name: registryconfig
      description: The workspace for distribution registry configuration.
    - name: signkey
      description: The workspace for private keys and passwords used for image signatures.

TIP

В этом руководстве показан упрощенный рабочий процесс: генерация Containerfile и вывод задачи git-clone выполняются непосредственно внутри pipeline. В production-средах обычно делают следующее:

Используют задачу git-clone для получения исходного кода из репозитория
Собирают образ с помощью Containerfile, который уже находится в исходном коде
Такой подход обеспечивает корректное управление версиями и сохраняет разделение между кодом и конфигурацией pipeline

Пояснение полей YAML

То же самое, что и в Шаг 4: Создать пример pipeline, но дополнительно добавлено следующее:
- workspaces:
  - signkey: workspace для закрытых ключей и паролей, используемых для подписей образов.
- tasks:
  - syft-sbom: задача для генерации SBOM для образа и загрузки attestation. :::

Сохраните это в YAML-файл с именем chains-demo-5.yaml и примените его:

$ export NAMESPACE=<default>

# create the pipeline in the namespace
$ kubectl create -n $NAMESPACE -f chains-demo-5.yaml

pipeline.tekton.dev/chains-demo-5 created

Шаг 5: Запустить пример pipeline

Это ресурс PipelineRun, который используется для запуска pipeline.

apiVersion: tekton.dev/v1
kind: PipelineRun
metadata:
  generateName: chains-demo-5-
spec:
  pipelineRef:
    name: chains-demo-5
  taskRunTemplate:
    serviceAccountName: <default>
  workspaces:
    - name: registryconfig
      secret:
        secretName: <registry-credentials>
    - name: source
      volumeClaimTemplate:
        spec:
          accessModes:
            - ReadWriteOnce
          resources:
            requests:
              storage: 1Gi
          storageClassName: <nfs>

:::details {title="Пояснение полей YAML"}

То же самое, что и в Шаг 5: Запустить пример pipeline. Ниже приведены только отличия.
workspaces
- signkey: имя secret с ключом подписи.
  - secret.secretName: signing secret, подготовленный на предыдущем шаге Получить signing secret. Но вам нужно создать новый secret в том же namespace, что и PipelineRun. :::

Сохраните это в YAML-файл с именем chains-demo-5.pipelinerun.yaml и примените его:

$ export NAMESPACE=<default>

# create the pipeline run in the namespace
$ kubectl create -n $NAMESPACE -f chains-demo-5.pipelinerun.yaml

Дождитесь завершения PipelineRun.

$ kubectl get pipelinerun -n $NAMESPACE -w

chains-demo-5-<xxxxx>     True        Succeeded   2m  2m

Шаг 6: Дождаться подписи PipelineRun

Дождитесь, пока у PipelineRun появится аннотация chains.tekton.dev/signed: "true".

$ export NAMESPACE=<default>
$ export PIPELINERUN_NAME=<chains-demo-5-xxxxx>

$ kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o yaml | grep "chains.tekton.dev/signed"

    chains.tekton.dev/signed: "true"

Когда у PipelineRun появляется аннотация chains.tekton.dev/signed: "true", это означает, что образ подписан.

Шаг 7: Получить образ из PipelineRun

# Get the image URI
$ export IMAGE_URI=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.uri}')

# Get the image digest
$ export IMAGE_DIGEST=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.digest}')

# Combine the image URI and digest to form the full image reference
$ export IMAGE=$IMAGE_URI@$IMAGE_DIGEST

# Print the image reference
$ echo $IMAGE

<registry>/test/chains/demo-5:latest@sha256:a6c727554be7f9496e413a789663060cd2e62b3be083954188470a94b66239c7

Этот образ будет использоваться для проверки SBOM.

Шаг 8: (Необязательно) Получить attestation SBOM

Если вам интересно содержимое attestation SBOM, вы можете продолжить чтение следующего раздела.

Подробнее об attestation CycloneDX SBOM см. в cyclonedx SBOM attestation

Получите открытый ключ подписи согласно разделу Получить открытый ключ подписи.

# Disable tlog upload and enable private infrastructure
$ export COSIGN_TLOG_UPLOAD=false
$ export COSIGN_PRIVATE_INFRASTRUCTURE=true

$ export IMAGE=<<registry>/test/chains/demo-5:latest@sha256:a6c727554be7f9496e413a789663060cd2e62b3be083954188470a94b66239c7>

$ cosign verify-attestation --key cosign.pub --type cyclonedx $IMAGE | jq -r '.payload | @base64d' | jq -s

Результат будет похож на следующий и содержит информацию о компонентах образа.

:::details {title="cyclonedx SBOM attestation"}

{
  "_type": "https://in-toto.io/Statement/v0.1",
  "predicateType": "https://cyclonedx.org/bom",
  "predicate": {
    "$schema": "http://cyclonedx.org/schema/bom-1.6.schema.json",
    "bomFormat": "CycloneDX",
    "components": [
      {
        "bom-ref": "os:ubuntu@24.04",
        "licenses": [
          {
            "license": {
              "name": "GPL"
            }
          }
        ],
        "description": "Ubuntu 24.04.2 LTS",
        "name": "ubuntu",
        "type": "operating-system",
        "version": "24.04"
      }
    ],
    "metadata": {
      "timestamp": "2025-06-07T09:56:05Z",
      "tools": {
        "components": [
          {
            "author": "anchore",
            "name": "syft",
            "type": "application",
            "version": "1.23.1"
          }
        ]
      }
    }
  }
}

:::details {title="Описание полей"}

predicateType: тип predicate.
predicate:
- components: компоненты образа.
  - bom-ref: BOM reference компонента.
  - licenses: лицензии компонента.
    - license: лицензия компонента.
      - name: имя лицензии.
      - id: идентификатор лицензии.
  - name: имя компонента.
  - type: тип компонента.
  - version: версия компонента.
- metadata: метаданные образа.
  - timestamp: временная метка образа.
  - tools:
    - components: компоненты инструмента.
      - author: автор инструмента.
      - name: имя инструмента.
      - type: тип инструмента.
      - version: версия инструмента. :::

Шаг 9: Проверить информацию о base image

Шаг 9.1: Создать политику Kyverno для проверки информации о base image

TIP

Для этого шага требуются права cluster administrator.

Подробнее о Kyverno ClusterPolicy см. в Kyverno ClusterPolicy

Политика выглядит следующим образом:

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: verify-base-image
spec:
  webhookConfiguration:
    failurePolicy: Fail
    timeoutSeconds: 30
  background: false
  rules:
    - name: check-image
      match:
        any:
          - resources:
              kinds:
                - Pod
              namespaces:
                - policy
      verifyImages:
        - imageReferences:
            - "*"
            # - "<registry>/test/*"
          skipImageReferences:
            - "ghcr.io/trusted/*"
          failureAction: Enforce
          verifyDigest: false
          required: false
          useCache: false
          imageRegistryCredentials:
            allowInsecureRegistry: true
            secrets:
              # The credential needs to exist in the namespace where kyverno is deployed
              - registry-credentials

          attestations:
            - type: https://cyclonedx.org/bom
              attestors:
                - entries:
                    - attestor:
                      keys:
                        publicKeys: |- # <- The public key of the signer
                          -----BEGIN PUBLIC KEY-----
                          MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFZNGfYwn7+b4uSdEYLKjxWi3xtP3
                          UkR8hQvGrG25r0Ikoq0hI3/tr0m7ecvfM75TKh5jGAlLKSZUJpmCGaTToQ==
                          -----END PUBLIC KEY-----

                        ctlog:
                          ignoreSCT: true

                        rekor:
                          ignoreTlog: true

              conditions:
                - any:
                    - key: "{{ components[?type=='operating-system'] | [?name=='ubuntu' && (version=='22.04' || version=='24.04')] | length(@) }}"
                      operator: GreaterThan
                      value: 0
                      message: "The operating system must be Ubuntu 22.04 or 24.04, not {{ components[?type=='operating-system'].name[] }} {{ components[?type=='operating-system'].version[] }}"

                    - key: "{{ components[?type=='operating-system'] | [?name=='alpine' && (version=='3.18' || version=='3.20')] | length(@) }}"
                      operator: GreaterThan
                      value: 0
                      message: "The operating system must be Alpine 3.18 or 3.20, not {{ components[?type=='operating-system'].name[] }} {{ components[?type=='operating-system'].version[] }}"
                       PkgIDs: {{ scanner.result.Results[].Vulnerabilities[?CVSS.redhat.V3Score > `1.0`].PkgID[] }}.

:::details {title="Пояснение полей YAML"}

Политика в целом совпадает с политикой из Проверка подписи образа
spec.rules[0].verifyImages[].attestations[0].conditions
- type: тип attestation CycloneDX SBOM — https://cyclonedx.org/bom
- attestors: то же самое, что и выше.
- conditions: условия, которые необходимо проверить.
  - any: должно быть выполнено любое из условий.
    - key: "{{ components[?type=='operating-system'] | [?name=='ubuntu' && (version=='22.04' || version=='24.04')] | length(@) }}": операционная система должна быть Ubuntu 22.04 или 24.04.
    - key: "{{ components[?type=='operating-system'] | [?name=='alpine' && (version=='3.18' || version=='3.20')] | length(@) }}": операционная система должна быть Alpine 3.18 или 3.20. :::

Сохраните политику в YAML-файл с именем kyverno.verify-base-image.yaml и примените его:

$ kubectl create -f kyverno.verify-base-image.yaml

clusterpolicy.kyverno.io/verify-base-image created

Шаг 9.2: Проверить политику

В namespace policy, где определена политика, создайте Pod для проверки политики.

Используйте собранный образ для создания Pod.

$ export NAMESPACE=<policy>
$ export IMAGE=<<registry>/test/chains/demo-5:latest@sha256:a6c727554be7f9496e413a789663060cd2e62b3be083954188470a94b66239c7>

$ kubectl run -n $NAMESPACE base-image --image=${IMAGE} -- sleep 3600

Если ваша base image — Ubuntu 22.04 или 24.04, Pod будет создан успешно.

Измените условия в ClusterPolicy, чтобы разрешить только Alpine 3.18 или 3.20.

conditions:
  - any:
      - key: "{{ components[?type=='operating-system'] | [?name=='alpine' && (version=='3.18' || version=='3.20')] | length(@) }}"
        operator: GreaterThan
        value: 0
        message: "The operating system must be Alpine 3.18 or 3.20, not {{ components[?type=='operating-system'].name[] }} {{ components[?type=='operating-system'].version[] }}"

Затем создайте Pod для проверки политики.

$ kubectl run -n $NAMESPACE deny-base-image --image=${IMAGE} -- sleep 3600

Вы получите такой вывод:

Error from server: admission webhook "mutate.kyverno.svc-fail" denied the request:

resource Pod/policy/deny-base-image was blocked due to the following policies

verify-base-image:
  check-image: 'image attestations verification failed, verifiedCount: 0, requiredCount:
    1, error: .attestations[0].attestors[0].entries[0].keys: attestation checks failed
    for <registry>/test/chains/demo-5:latest and predicate https://cyclonedx.org/bom:
    The operating system must be Alpine 3.18 or 3.20, not ["ubuntu"] ["24.04"]'

Шаг 10: Очистить ресурсы

Удалите Pods, созданные на предыдущих шагах.

$ export NAMESPACE=<policy>
$ kubectl delete pod -n $NAMESPACE base-image

Удалите политику.

$ kubectl delete clusterpolicy verify-base-image

Ожидаемые результаты

После выполнения этого руководства:

У вас будет рабочая конфигурация Tekton Chains для генерации SBOM и Kyverno для проверки base image
Ваши container images автоматически будут включать информацию SBOM в своих attestation
В указанном namespace можно будет развертывать только образы с допустимыми base image
Образы с несоответствующими base image будут автоматически блокироваться политиками Kyverno
Вы реализовали базовый механизм безопасности supply chain путем проверки информации о base image ваших container images

Это руководство создает основу для внедрения безопасности supply chain в ваши CI/CD pipelines. В production-среде следует:

Настроить корректную изоляцию namespace и контроль доступа
Реализовать безопасное управление ключами для ключей подписи
Настроить мониторинг и оповещения о нарушениях политик
Регулярно ротировать ключи подписи и обновлять политики безопасности

#Проверка Base Image и SBOM

#Содержание

#Обзор функциональности

#Сценарии использования

#Предварительные требования

#Обзор процесса

#Пошаговые инструкции

#Шаги 1–3: Базовая настройка

#Шаг 4: Создать пример pipeline

#Шаг 5: Запустить пример pipeline

#Шаг 6: Дождаться подписи PipelineRun

#Шаг 7: Получить образ из PipelineRun

#Шаг 8: (Необязательно) Получить attestation SBOM

#Шаг 9: Проверить информацию о base image

#Шаг 9.1: Создать политику Kyverno для проверки информации о base image

#Шаг 9.2: Проверить политику

#Шаг 10: Очистить ресурсы

#Ожидаемые результаты

#Ссылки