Container Attestierung Silber

Wie erreicht man diese Attestierungen?

Um VEX-Attestierungen für Ihre Container-Images zu erstellen, gibt verschiedene Ansätze die auf dieser Seite von denen zwei im Detail beschrieben werden:

• Eigene VEX-Dokumente und Attestierungen
• Automatisierte Lösungen

Eigene VEX-Dokumente und Attestierungen

Sie können Ihre eigenen VEX-Dokumente erstellen und selbst attestieren:

1. Schwachstellenanalyse: Führen Sie eine Analyse der bekannten CVEs in Ihren Container-Komponenten durch und bewerten Sie deren tatsächliche Ausnutzbarkeit im Kontext Ihres Images.

2. VEX-Dokumentation: Erstellen Sie VEX-Dokumente im unterstützten Format:

   • CycloneDX VEX (https://cyclonedx.org/vex)

   Das Dokument sollte den Status jeder Schwachstelle dokumentieren (affected, not_affected, fixed, in_triage).

3. Kryptografische Signierung: Verwenden Sie Cosign oder ein anderes Signierungstool, um das VEX-Dokument kryptografisch zu signieren und als Attestierung zu hinterlegen.

4. Upload zur Registry: Laden Sie die signierte Attestierung zu Ihrer Container-Registry hoch und verknüpfen Sie sie mit dem entsprechenden Image-Tag.

Automatisierte Lösungen

Das von openCode bereitgestellte zentrale Schwachstellenmanagement-System openCode DevGuard können Sie nutzen um den gesamten Prozess zu automatisieren. DevGuard bietet folgende Funktionen, die für diese Badge relevant sind:

• Automatische Schwachstellenanalyse und Bewertung der Ausnutzbarkeit
• VEX-Dokumentation im standardisierten Format
• Kontextbezogene Risikobewertung basierend auf CVSS/EPSS
• Kryptografische Signierung mittels Cosign
• Integration in CI/CD-Pipelines