Container Attestierung Gold

Wie erreicht man diese Attestierungen?

Um Build Provenance, Source Provenance und SARIF-Attestierungen für Ihre Container-Images zu erstellen, gibt es verschiedene Ansätze:

Eigene Attestierungen

Sie können alle erforderlichen Attestierungen selbst erstellen und verwalten:

1. Build Provenance:

• Dokumentieren Sie den gesamten Build-Prozess (verwendete Tools, Versionen, Parameter, Build-Umgebung)
• Erstellen Sie Build Provenance-Dokumente in einem der unterstützten Formate:
  • SLSA Provenance (https://slsa.dev/provenance)
  • Cosign Attestation (https://cosign.sigstore.dev/attestation)
• Signieren Sie die Provenance kryptografisch mit Cosign oder einem anderen Tool

2. Source Provenance:

• Dokumentieren Sie die exakte Herkunft des Quellcodes (Git-Commit-Hash, Repository-URL, Branch, Tag)
• Erstellen Sie Source Provenance-Dokumente im unterstützten Format:
  • openCode Source Provenance Schema (Link)
• Das Dokument sollte Code-Reviews und Genehmigungen referenzieren
• Signieren Sie die Provenance kryptografisch

Beispielprojekte wie Sie den von openCode bereitgestellten Source Provenance Service nutzen können, finden Sie unter den nachstehenden Links. Zu beachten ist, dass openCode DevGuard eine einfache Einrichtung ermöglicht und gleichzeitig auch Build Provenance, SBOMs und VEX Dateien generieren kann.

• Manueller Prozess
• Automatisierter Prozess mittels openCode DevGuard

3. SARIF-Reports:

• Führen Sie statische Code-Analysen durch (SAST-Tools wie Semgrep, CodeQL, SonarQube)
• Konvertieren Sie die Ergebnisse in das unterstützte Format:
  • SARIF (https://www.schemastore.org/schemas/json/sarif-*.json)
• Signieren Sie die SARIF-Reports kryptografisch

4. Upload zur Registry:

• Laden Sie alle signierten Attestierungen zu Ihrer Container-Registry hoch und verknüpfen Sie sie mit dem entsprechenden Image-Tag

Automatisierte Lösungen

Das von openCode bereitgestellte zentrale Schwachstellenmanagement-System openCode DevGuard können Sie nutzen um den gesamten Prozess zu automatisieren. DevGuard bietet folgende Funktionen, die für diese Badge relevant sind:

• Build Provenance: Automatische Generierung und Dokumentation des Build-Prozesses
• Source Provenance: Der Source Provenance Attestation Service dokumentiert die Quellcode-Herkunft (kann auch eigenständig genutzt werden)
• SARIF: Automatische statische Code-Analysen (SAST, Secret Scanning, IaC-Checks) mit SARIF-Report-Generierung
• Attestierung und Upload: Automatische Signierung mit Cosign und Upload zur Container-Registry