Container Attestierung Gold
Beschreibung
Dieser Check prüft, ob für Container-Images des neuesten Releases die erforderlichen Attestierungen vorhanden sind. Für die Gold-Stufe werden die Existenz von Build Provenance, Source Provenance und SARIF Attestierungen geprüft.
Der Check läuft in folgenden Schritten ab:
- Ermittlung des neuesten Releases im Repository
- Suche nach Container-Images mit gültigem SemVer-Tag innerhalb des konfigurierten Zeitraums
- Filterung der Images, die zum Release-Tag passen
- Prüfung, ob zuvor ermittelte Images die drei erforderlichen Attestierungen besitzen (mittels Cosign)
Der Check gilt als bestanden, wenn alle zum Release gehörenden Container-Images vollständige Build Provenance, Source Provenance und SARIF Attestierungen aufweisen.
Hintergrund
Container-Attestierungen sind kryptografisch signierte Metadaten, die wichtige Informationen über Container-Images bereitstellen und deren Integrität sicherstellen. Sie sind ein zentraler Bestandteil von SLSA und tragen maßgeblich zur Lieferkettensicherheit bei. Die Gold-Stufe repräsentiert das höchste Niveau an Transparenz und Nachvollziehbarkeit in der Software-Lieferkette.
Anleitung zum Erfüllen des Checks auf openCode
Unter folgendem Link finden Sie eine Anleitung mit weiterführenden Informationen zum Erfüllen dieses Checks auf der Plattform openCode: Container Attestierung Gold