Product Logo
Menü

Container Attestierung Bronze

Beschreibung

Dieser Check prüft, ob für Container-Images des neuesten Releases die erforderlichen Attestierungen vorhanden sind. Für die Bronze-Stufe wird die Existenz einer SBOM Attestierung geprüft.

Der Check läuft in folgenden Schritten ab:

  1. Ermittlung des neuesten Releases im Repository
  2. Suche nach Container-Images mit gültigem SemVer-Tag innerhalb des konfigurierten Zeitraums
  3. Filterung der Images, die zum Release-Tag passen
  4. Prüfung, ob zuvor ermittelte Images eine SBOM-Attestierung besitzen (mittels Cosign)

Der Check gilt als bestanden, wenn alle zum Release gehörenden Container-Images eine vollständige SBOM-Attestierung aufweisen.

Hintergrund

Container-Attestierungen sind kryptografisch signierte Metadaten, die wichtige Informationen über Container-Images bereitstellen und deren Integrität sicherstellen. Sie sind ein zentraler Bestandteil von SLSA und tragen maßgeblich zur Lieferkettensicherheit bei.

SBOM

Die SBOM-Attestierung ist die Grundlage für Transparenz in der Software-Lieferkette:

  • Vollständige Abhängigkeitsliste: Eine SBOM dokumentiert alle Komponenten, Bibliotheken und Abhängigkeiten, die in einem Container-Image enthalten sind. Dies schafft vollständige Transparenz darüber, welche Software-Komponenten verwendet werden.

  • Lizenz-Compliance: Durch die Auflistung aller Komponenten können Lizenzverpflichtungen identifiziert und eingehalten werden. Dies ist besonders wichtig für die Nutzung von Open-Source-Software in öffentlichen Verwaltungen.

  • Schwachstellenmanagement: Mit einer SBOM können bekannte Sicherheitslücken in genutzten Komponenten schnell identifiziert werden. Wenn eine Schwachstelle in einer Bibliothek bekannt wird, kann sofort festgestellt werden, welche Container-Images betroffen sind.

  • SLSA-Anforderungen: Das Bereitstellen einer SBOM ist eine Grundvoraussetzung für höhere SLSA-Level. Sie ermöglicht es, die Herkunft und Zusammensetzung von Software nachzuvollziehen und bildet die Basis für weitere Sicherheitsmaßnahmen.

  • Incident Response: Im Falle eines Sicherheitsvorfalls ermöglicht eine SBOM eine schnelle Analyse, welche Komponenten betroffen sein könnten und welche Maßnahmen erforderlich sind.

Die Verwendung von Cosign zur Signierung der SBOM-Attestierung stellt sicher, dass die SBOM nicht manipuliert wurde und tatsächlich vom legitimen Ersteller des Container-Images stammt.

Anleitung zum Erfüllen des Checks auf openCode

Unter folgendem Link finden Sie eine Anleitung mit weiterführenden Informationen zum Erfüllen dieses Checks auf der Plattform openCode: Container Attestierung Bronze