#Подписанное происхождение

Это руководство помогает новым пользователям быстро настроить Tekton Chains для защиты CI/CD-пайплайнов путем генерации и проверки SLSA Provenance для Tekton PipelineRuns.

#Введение

#Сценарии использования

Tekton Chains помогает защитить цепочку поставки ПО, автоматически генерируя SLSA Provenance для ваших артефактов сборки. В этом руководстве показано, как настроить Tekton Chains, сгенерировать ключ подписи, запустить пример пайплайна и проверить его SLSA Provenance.

#Оценка времени чтения

15-20 минут

#Важные примечания

• Tekton Chains по умолчанию устанавливается в namespace tekton-pipelines при использовании Alauda Devops Pipelines Operator
• Ключи подписи следует хранить и управлять ими безопасно; в production-средах рассмотрите возможность использования системы управления ключами (KMS)
• В этом руководстве используется упрощенный workflow: Containerfile генерируется непосредственно внутри пайплайна
• В production-средах следует использовать корректное управление исходным кодом и version control

#Предварительные требования

• Kubernetes-кластер с установленными Tekton Pipelines и Tekton Chains
• Registry с включенной возможностью push image
• Установленный и настроенный CLI kubectl для доступа к вашему кластеру
• Установленный CLI-инструмент cosign
• Установленный CLI-инструмент jq

#Обзор процесса

#Пошаговые инструкции

#Шаг 1: Сгенерировать ключи подписи

Tekton Chains использует криптографические ключи для подписи артефактов. По умолчанию он ищет secret с именем signing-secrets в namespace Chains.

1. Установите cosign, если вы еще этого не сделали

2. Сгенерируйте пару ключей и сохраните ее как Kubernetes secret:

   $ COSIGN_PASSWORD={password} cosign generate-key-pair k8s://tekton-pipelines/signing-secrets
   
   Successfully created secret signing-secrets in namespace tekton-pipelines
   Public key written to cosign.pub
   TIP

   Этот пароль будет сохранен в Kubernetes secret с именем signing-secrets в namespace tekton-pipelines.

3. Убедитесь, что secret был создан:

   $ kubectl get secret signing-secrets -n tekton-pipelines
   
   NAME              TYPE     DATA   AGE
   signing-secrets   Opaque   3      3m

#Шаг 2: Настроить аутентификацию

Настройте учетные данные registry для push image:

1. Создайте secret с учетными данными:

   $ kubectl create secret docker-registry registry-credentials \
     --docker-server=<gcr.io> \
     --docker-username=<username> \
     --docker-email=<email> \
     --docker-password=<password> \
     -n $NAMESPACE

2. Установите ключ config.json:

   $ DOCKER_CONFIG=$(kubectl get secret -n $NAMESPACE $REGISTRY_CREDENTIALS -o jsonpath='{.data.\.dockerconfigjson}')
   $ kubectl patch secret -n $NAMESPACE $REGISTRY_CREDENTIALS -p "{\"data\":{\"config.json\":\"$DOCKER_CONFIG\"}}"

3. Примените patch к service account, чтобы он использовал secret:

   $ kubectl patch serviceaccount $SERVICE_ACCOUNT_NAME \
     -p "{\"secrets\": [{\"name\": \"registry-credentials\"}]}" -n $NAMESPACE

#Шаг 3: Настроить Tekton Chains

Настройте Tekton Chains на хранение артефактов в формате OCI:

$ kubectl patch tektonconfigs.operator.tekton.dev config --type=merge -p='{
  "spec": {
    "chain": {
      "artifacts.oci.format": "simplesigning",
      "artifacts.oci.storage": "oci",
      "artifacts.pipelinerun.format": "in-toto",
      "artifacts.pipelinerun.storage": "oci",
      "artifacts.taskrun.format": "in-toto",
      "artifacts.taskrun.storage": "oci"
    }
  }
}'

#Шаг 4: Создать пример пайплайна

Это ресурс Pipeline, который используется для сборки image и генерации attestation SLSA Provenance.

apiVersion: tekton.dev/v1
kind: Pipeline
metadata:
  name: chains-demo-1
spec:
  params:
    - default: |-
        echo "Generate a Containerfile for building an image."

        cat << 'EOF' > Containerfile
        FROM ubuntu:latest
        ENV TIME=1
        EOF

        echo -e "\nContainerfile contents:"
        echo "-------------------"
        cat Containerfile
        echo "-------------------"
        echo -e "\nContainerfile generated successfully!"
      description: A script to generate a Containerfile for building an image.
      name: generate-containerfile
      type: string
    - default: <registry>/test/chains/demo-1:latest
      description: The target image address built
      name: image
      type: string
  tasks:
    - name: generate-containerfile
      params:
        - name: script
          value: $(params.generate-containerfile)
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: run-script
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
    - name: build-image
      params:
        - name: IMAGES
          value:
            - $(params.image)
        - name: TLS_VERIFY
          value: "false"
      runAfter:
        - generate-containerfile
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: buildah
          - name: version
            value: "0.9"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: registryconfig
          workspace: registryconfig
  results:
    - description: first image artifact output
      name: first_image_ARTIFACT_OUTPUTS
      type: object
      value:
        digest: $(tasks.build-image.results.IMAGE_DIGEST)
        uri: $(tasks.build-image.results.IMAGE_URL)
  workspaces:
    - name: source
      description: Workspace для исходного кода.
    - name: registryconfig
      description: Workspace для конфигурации registry распространения.

Необходимо изменить конфигурацию

• params:
  • generate-containerfile
    • default: Укажите корректный from image address.
  • image:
    • default: Целевой адрес собираемого image.

Сохраните это в yaml-файл с именем chains.demo-1.pipeline.yaml и примените его с помощью:

$ export NAMESPACE=<default>
$ kubectl apply -n $NAMESPACE -f chains.demo-1.pipeline.yaml

#Шаг 5: Запустить пример пайплайна

Это ресурс PipelineRun, который используется для запуска пайплайна.

apiVersion: tekton.dev/v1
kind: PipelineRun
metadata:
  generateName: chains-demo-1-
spec:
  pipelineRef:
    name: chains-demo-1
  taskRunTemplate:
    serviceAccountName: <default>
  workspaces:
    - name: registryconfig
      secret:
        secretName: <registry-credentials>
    - name: source
      volumeClaimTemplate:
        spec:
          accessModes:
            - ReadWriteOnce
          resources:
            requests:
              storage: 1Gi
          storageClassName: <nfs>

Необходимо изменить конфигурацию

• taskRunTemplate:
  • serviceAccountName: service account, подготовленный на предыдущем шаге ServiceAccount Configuration.
• workspaces:
  • registryconfig:
    • secret.secretName: Secret registry, подготовленный на предыдущем шаге Creating Registry Credentials.
  • source:
    • volumeClaimTemplate.spec.storageClassName: Имя storage class для шаблона volume claim.

Сохраните это в yaml-файл с именем chains.demo-1.pipelinerun.yaml и примените его с помощью:

$ export NAMESPACE=<default>

# create the pipeline run resource in the namespace
$ kubectl create -n $NAMESPACE -f chains.demo-1.pipelinerun.yaml

Дождитесь завершения PipelineRun.

$ kubectl get pipelinerun -n $NAMESPACE -w

chains-demo-1-<xxxxx>   True        Succeeded   2m         2m

#Шаг 6: Дождаться подписи PipelineRun

Дождитесь, пока у PipelineRun не появится аннотация chains.tekton.dev/signed: "true".

$ export NAMESPACE=<default>
$ export PIPELINERUN_NAME=<chains-demo-1-xxxxx>

$ kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o yaml | grep "chains.tekton.dev/signed"

    chains.tekton.dev/signed: "true"

Когда у PipelineRun появляется аннотация chains.tekton.dev/signed: "true", это означает, что image подписан.

#Шаг 7: Получить image из PipelineRun

# Get the image URI
$ export IMAGE_URI=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.uri}')

# Get the image digest
$ export IMAGE_DIGEST=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.digest}')

# Combine the image URI and digest to form the full image reference
$ export IMAGE=$IMAGE_URI@$IMAGE_DIGEST

# Print the image reference
$ echo $IMAGE

<registry>/test/chains/demo-1:latest@sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046

Этот image будет использоваться для проверки подписи.

#Шаг 8: Проверить image и attestation

1. Получите публичный ключ подписи

   Если у вас нет разрешения, вы можете попросить администратора получить публичный ключ.

   $ export NAMESPACE=<tekton-pipelines>
   $ kubectl get secret -n $NAMESPACE signing-secrets -o jsonpath='{.data.cosign\.pub}' | base64 -d > cosign.pub

2. Проверьте подпись

   $ cosign verify --key cosign.pub ${IMAGE}

   Если проверка прошла успешно, вы увидите следующий вывод:

   [{"critical":{"identity":{"docker-reference":"<registry>/test/chains/demo-1"},"image":{"docker-manifest-digest":"sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046"},"type":"cosign container image signature"},"optional":null}]

3. Проверьте attestation SLSA provenance

   $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE}

   Если проверка прошла успешно, вы увидите следующий вывод:

   Verification for <registry>/test/chains/demo-1:latest --
   The following checks were performed on each of these signatures:
     - The cosign claims were validated
     - The signatures were verified against the specified public key
   
   {"payloadType":"application/vnd.in-toto+json","payload":"...","signatures":[{"keyid":"SHA256:B8CzieJ9/kKhU9hiIPXY+dvvz9DLVOQ3XokyYLdladc","sig":"MEQCIEeS/gGpMV4Y22pYJw3hTyCg92KXACAYvnDwm3fzPxyLAiA3cDP6zjCfaVrf35wED1ylSUdsEJzwlXDCvj2i2A6BYg=="}]}

4. Извлеките payload с помощью jq:

   $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE} | jq '.payload | @base64d' | jq -r '.' | jq '.'
   Payload attestation

    {
      "_type": "https://in-toto.io/Statement/v0.1",
      "subject": [
        {
          "name": "<registry>/test/chains/demo-1",
          "digest": {
            "sha256": "213a270c14f88abdd283f4ceaf8a8a73f5f8b5c2303609295680a6e751ef6f0f"
          }
        }
      ],
      "predicateType": "https://slsa.dev/provenance/v0.2",
      "predicate": {
        "buildConfig": {
          "steps": [
            {
              "annotations": null,
              "arguments": [
                "--images",
                "<registry>/test/chains/demo-1:latest",
                "--build-args",
                ""
              ],
              "entryPoint": "",
              "environment": {
                "container": "build-and-push",
                "image": "oci://<registry>/devops/tektoncd/hub/buildah@sha256:8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
              }
            }
          ]
        },
        "buildType": "tekton.dev/v1beta1/TaskRun",
        "builder": {
          "id": "https://alauda.io/builders/tekton/v1"
        },
        "invocation": {
          "configSource": {
            "digest": {
              "sha256": "3225653d04c223be85d173747372290058a738427768c5668ddc784bf24de976"
            },
            "uri": "http://tekton-hub-api.tekton-pipelines:8000/v1/resource/catalog/task/buildah/0.9/yaml"
          },
          "environment": {
            "annotations": {
              "cpaas.io/creator": "admin@cpaas.io",
              "cpaas.io/operator": "admin@cpaas.io",
              "cpaas.io/updated-at": "2025-06-16T06:04:04Z",
              "pipeline.tekton.dev/affinity-assistant": "affinity-assistant-691f2fff6f",
              "pipeline.tekton.dev/release": "002f74eea37b0f5dbcfed39c13d7cd762c8fcdc4",
              "tekton.dev/categories": "Image Build",
              "tekton.dev/displayName": "Buildah",
              "tekton.dev/icon": "",
              "tekton.dev/pipelines.minVersion": "0.56.0",
              "tekton.dev/platforms": "linux/amd64,linux/arm64",
              "tekton.dev/tags": "image-build"
            },
            "labels": {
              "app.kubernetes.io/managed-by": "tekton-pipelines",
              "app.kubernetes.io/version": "0.9",
              "tekton.dev/memberOf": "tasks",
              "tekton.dev/pipeline": "chains-demo-1",
              "tekton.dev/pipelineRun": "chains-demo-1-zp9tk",
              "tekton.dev/pipelineRunUID": "ad8234b8-19a6-4c5c-b2fd-5673444aeda8",
              "tekton.dev/pipelineTask": "build-image",
              "tekton.dev/task": "buildah"
            }
          },
          "parameters": {
            "BUILDER_IMAGE": "<registry>/devops/tektoncd/hub/buildah:v1.33.12-v4.0.0-beta.240.g2b61d46",
            "BUILD_ARGS": [
              ""
            ],
            "BUILD_EXTRA_ARGS": "",
            "CONTEXT": ".",
            "CONTAINERFILE": "./Containerfile",
            "FORMAT": "oci",
            "IMAGES": [
              "<registry>/test/chains/demo-1:latest"
            ],
            "PUSH_EXTRA_ARGS": "",
            "SKIP_PUSH": "false",
            "STORAGE_DRIVER": "vfs",
            "TLS_VERIFY": "false",
            "VERBOSE": "false"
          }
        },
        "materials": [
          {
            "digest": {
              "sha256": "8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
            },
            "uri": "oci://<registry>/devops/tektoncd/hub/buildah"
          }
        ],
        "metadata": {
          "buildFinishedOn": "2025-06-16T06:04:41Z",
          "buildStartedOn": "2025-06-16T06:04:15Z",
          "completeness": {
            "environment": false,
            "materials": false,
            "parameters": false
          },
          "reproducible": false
        }
      }
    }

#Ожидаемые результаты

После завершения этого руководства:

• У вас будет рабочая настройка Tekton Chains с ключом подписи
• Ваши PipelineRuns будут автоматически подписываться после завершения, а image будет иметь attestation SLSA Provenance
• Вы сможете проверять подписи и attestations, чтобы убедиться в целостности ваших сборок

Это руководство дает основу для внедрения безопасности цепочки поставки в ваши CI/CD-пайплайны. В production-среде следует:

1. Использовать корректное управление исходным кодом и version control
2. Реализовать безопасное управление ключами с помощью cloud KMS
3. Настроить автоматическую проверку в процессе deployment
4. Настроить корректные механизмы контроля доступа и политики безопасности
5. Регулярно выполнять ротацию ключей подписи и обновлять конфигурации безопасности

#Ссылки

• Chains Signed Provenance Tutorial
• Chains Configuration