Введение
Введение в Tekton Chains
Tekton Chains — это контроллер Kubernetes Custom Resource Definition (CRD), который обеспечивает функции безопасности цепочки поставок для конвейеров Tekton. Он работает, наблюдая за выполнением TaskRun и PipelineRun, захватывая соответствующую информацию и сохраняя её в криптографически подписанном формате. Это обеспечивает безопасную и проверяемую запись всех действий конвейера, гарантируя целостность вашей цепочки поставок программного обеспечения.
Построенный на основе Tekton Pipelines, Tekton Chains расширяет возможности CI/CD, добавляя функции безопасности, которые позволяют организациям внедрять практики безопасности цепочки поставок программного обеспечения в соответствии с отраслевыми стандартами, такими как SLSA (Supply-chain Levels for Software Artifacts).
Преимущества Tekton Chains
Основные преимущества Tekton Chains заключаются в следующем:
-
Безопасная цепочка поставок программного обеспечения
Tekton Chains обеспечивает криптографическую проверку всех артефактов, созданных в вашем CI/CD конвейере, гарантируя, что ваше программное обеспечение не было подделано от сборки до развертывания.
-
Соответствие SLSA
Поддерживает несколько форматов происхождения SLSA, помогая организациям соответствовать отраслевым стандартам безопасности цепочки поставок и достигать более высоких уровней соответствия SLSA.
-
Бесшовная интеграция
Работает нативно с Tekton Pipelines, требуя минимальных изменений конфигурации в существующих CI/CD рабочих процессах при добавлении надежных функций безопасности.
-
Гибкие варианты хранения
Поддерживает несколько бэкендов хранения, включая Tekton, OCI регистры, GCS и другие, позволяя хранить подписи и аттестации там, где это наиболее удобно для вашей организации.
-
Разнообразные методы подписи
Поддерживает различные механизмы подписи, включая x509, Cosign и KMS системы (GCP KMS, Hashicorp Vault, AWS KMS, Azure KMS), обеспечивая гибкость в способах защиты вашей цепочки поставок.
Сценарии использования
Основные сценарии применения Tekton Chains включают:
-
Безопасные CI/CD конвейеры
Организации могут использовать Tekton Chains для добавления криптографической проверки в свои существующие CI/CD конвейеры, гарантируя, что все созданные артефакты подписаны и проверяемы.
-
Требования соответствия
Для организаций, которым необходимо соответствовать нормативным или отраслевым требованиям по безопасности цепочки поставок программного обеспечения, Tekton Chains предоставляет необходимые аттестации и проверки.
-
Подпись образов контейнеров
Автоматически подписывает образы контейнеров, созданные в рамках Tekton pipelines, обеспечивая, что в производственные среды могут быть развернуты только проверенные образы.
-
Генерация происхождения
Генерирует и подписывает происхождение SLSA для всех артефактов, созданных в вашем конвейере, предоставляя проверяемую запись о том, как был создан каждый артефакт.
-
Прозрачное логирование
Хранит подписанные аттестации в журналах прозрачности, таких как Rekor, позволяя третьим сторонам проверять вашу цепочку поставок программного обеспечения.
Ограничения
-
Tekton Chains требует правильного управления ключами для подписи артефактов. Безопасность вашей цепочки поставок зависит от безопасности ваших ключей подписи.
-
Некоторые функции могут требовать дополнительной настройки внешних сервисов, таких как OCI регистры или KMS системы.
-
Tekton Chains наблюдает за TaskRuns и PipelineRuns после их завершения, поэтому может быть небольшая задержка между окончанием конвейера и доступностью аттестаций.
-
Tekton Chains только генерирует аттестации, но не проверяет их.