Container Attestierungen
Container Attestierungen adressieren ein zentrales Problem moderner Software-Lieferketten: fehlende Transparenz darüber, was tatsächlich in einem Container-Image steckt und wie es entstanden ist.
Was ist eine Container Attestierung?
Eine Attestierung ist ein kryptografisch signierter Nachweis (Metadaten) zu einem Container-Image. Darin kann stehen, wie das Image gebaut wurde, welche Sicherheitsscans durchgeführt wurden oder welcher Quellcode zugrunde liegt. Entscheidend ist: Diese Informationen sind signiert und damit nachträglich nicht unbemerkt manipulierbar.
Attestierungen werden als separate Objekte in der OCI Registry neben dem Image gespeichert und können von jedem mit dem entsprechenden öffentlichen Schlüssel verifiziert werden.
Warum sind Attestierungen wichtig?
Transparenz entlang der Supply Chain
Attestierungen liefern kryptografisch gesicherte Metadaten, die Aussagen zur Sicherheitslage eines Container-Images überprüfbar machen. Nachgelagerte Nutzer — Teams, Kunden, Partner — können nachvollziehen, ob sie einem Image vertrauen können und woher es stammt.
Verlässlichere Sicherheitsentscheidungen
Ohne Attestierungen bleibt oft nur “Scanner zeigt grün/rot” — ohne Klarheit darüber, wann gescannt wurde, womit, gegen welche Policies, und ob das Ergebnis noch zum ausgelieferten Artefakt passt. Attestierungen binden Sicherheitssignale nachvollziehbar an das konkrete Image.
Vom reaktiven zum proaktiven Schwachstellenmanagement
Wenn Attestierungen breit genutzt werden, können Sicherheitsinformationen automatisiert geteilt und wiederverwendet werden. Das macht Schwachstellenmanagement weniger ad-hoc und stärker ökosystemgetrieben.
Attestierungstypen im openCode Badge-System
Das openCode Badge-System kennt drei Attestierungstypen, die aufeinander aufbauen:
| Typ | Inhalt | Badge-Stufe |
|---|---|---|
| Build Provenance | Nachweis des Build-Prozesses | Silber |
| Source Provenance | Nachweis der Code-Herkunft und des Review-Prozesses | Gold |
| SARIF | Ergebnisse statischer Sicherheitsanalysen | Gold |
Die Kombination dieser Attestierungen schafft eine vollständige, kryptografisch gesicherte Dokumentation der gesamten Software-Lieferkette — vom Quellcode bis zum fertigen Container-Image.
Einstieg
openCode stellt das Schwachstellenmanagement-System openCode DevGuard kostenlos für alle openCode-Nutzer bereit. DevGuard übernimmt die Erstellung und Verwaltung von Attestierungen automatisch.
Alternativ können Attestierungen auch aus eigenen Prozessen bereitgestellt werden.