Product Logo
Menü

Container Attestierung Silber

Beschreibung

Dieser Check prüft, ob für Container-Images des neuesten Releases die erforderlichen Attestierungen vorhanden sind. Für die Silver-Stufe wird die Existenz einer VEX Attestierung geprüft.

Der Check läuft in folgenden Schritten ab:

  1. Ermittlung des neuesten Releases im Repository
  2. Suche nach Container-Images mit gültigem SemVer-Tag innerhalb des konfigurierten Zeitraums
  3. Filterung der Images, die zum Release-Tag passen
  4. Prüfung, ob alle gefundenen Images eine VEX-Attestierung besitzen (mittels Cosign)

Der Check gilt als bestanden, wenn alle zum Release gehörenden Container-Images eine vollständige VEX-Attestierung aufweisen.

Hintergrund

Container-Attestierungen sind kryptografisch signierte Metadaten, die wichtige Informationen über Container-Images bereitstellen und deren Integrität sicherstellen. Sie sind ein zentraler Bestandteil von SLSA und tragen maßgeblich zur Lieferkettensicherheit bei.

VEX

Die VEX-Attestierung baut auf der SBOM auf und erweitert sie um kritische Sicherheitsinformationen:

  • Verwundbarkeitsanalyse: VEX dokumentiert bekannte Sicherheitslücken (CVEs) in den Container-Komponenten und bewertet deren tatsächliche Auswirkung auf das spezifische Image. Nicht jede theoretische Schwachstelle ist in jedem Kontext auch praktisch ausnutzbar.

  • Ausnutzbarkeitskontext: VEX unterscheidet zwischen “affected” (betroffen und ausnutzbar), “not_affected” (vorhanden aber nicht ausnutzbar im konkreten Kontext), “fixed” (behoben) und “in_triage” (wird untersucht). Dies ermöglicht eine kontextbezogene Risikobewertung.

  • Priorisierung von Sicherheitsmaßnahmen: Durch die Bewertung der tatsächlichen Ausnutzbarkeit können Sicherheitsteams ihre Ressourcen auf die wirklich kritischen Schwachstellen konzentrieren, statt alle theoretisch möglichen CVEs gleich zu behandeln.

  • Transparente Kommunikation: VEX ermöglicht es Entwicklern und Sicherheitsverantwortlichen, transparent zu kommunizieren, warum bestimmte CVEs in einem Image akzeptabel sind (z.B. weil der betroffene Code-Pfad nicht genutzt wird).

  • Compliance und Audit: Im Kontext der öffentlichen Verwaltung ist die nachvollziehbare Dokumentation des Umgangs mit Sicherheitslücken essentiell. VEX bietet eine standardisierte Form dieser Dokumentation.

  • SLSA-Anforderungen: VEX ist für höhere SLSA-Level erforderlich, da es zeigt, dass aktiv mit Sicherheitsrisiken umgegangen wird und nicht nur deren Existenz bekannt ist.

Die Kombination von SBOM (Bronze) und VEX (Silver) schafft vollständige Transparenz über Komponenten und deren Sicherheitsstatus.

Anleitung zum Erfüllen des Checks auf openCode

Unter folgendem Link finden Sie eine Anleitung mit weiterführenden Informationen zum Erfüllen dieses Checks auf der Plattform openCode: Container Attestierung Silber