Container Attestierung Bronze
Wie erreicht man diese Attestierungen?
Um SBOM-Attestierungen für Ihre Container-Images zu erstellen, gibt es verschiedene Ansätze:
Eigene SBOM-Dateien und Attestierungen
Sie können Ihre eigenen SBOM-Dateien erstellen und selbst attestieren:
-
SBOM-Generierung: Erstellen Sie eine SBOM in einem der unterstützten Formate:
Nutzen Sie dazu Tools wie Syft, CycloneDX-Tools oder SPDX-Generatoren, um eine vollständige Komponentenliste Ihres Container-Images zu erstellen.
-
Kryptografische Signierung: Verwenden Sie Cosign oder ein anderes Signierungstool, um die SBOM kryptografisch zu signieren und als Attestierung zu hinterlegen.
-
Upload zur Registry: Laden Sie die signierte Attestierung zu Ihrer Container-Registry hoch und verknüpfen Sie sie mit dem entsprechenden Image-Tag.
Automatisierte Lösungen
Das von openCode bereitgestellte zentrale Schwachstellenmanagement-System openCode DevGuard können Sie nutzen um den gesamten Prozess zu automatisieren. DevGuard bietet folgende Funktionen, die für diese Badge relevant sind: