Alauda DevOps Pipelines Docs
  • 简体中文

    • 签名 Provenance

    本指南帮助新用户快速设置 Tekton Chains,通过为 Tekton PipelineRuns 生成并验证 SLSA Provenance,从而保护其 CI/CD 流水线。

    目录

    简介使用场景预计阅读时间重要说明前提条件流程概览分步说明步骤 1:生成签名密钥步骤 2:设置认证步骤 3:配置 Tekton Chains步骤 4:创建示例流水线步骤 5:运行示例流水线步骤 6:等待 PipelineRun 被签名步骤 7:从 PipelineRun 获取镜像步骤 8:验证镜像和 attestation预期结果参考资料

    简介

    使用场景

    Tekton Chains 可通过自动为构建产物生成 SLSA Provenance,帮助你保护软件供应链。本指南将演示如何设置 Tekton Chains、生成签名密钥、运行示例流水线,并验证其 SLSA Provenance。

    预计阅读时间

    15-20 分钟

    重要说明

    • 在使用 Alauda Devops Pipelines Operator 时,Tekton Chains 默认安装在 tekton-pipelines 命名空间中
    • 签名密钥应进行安全管理;在生产环境中,请考虑使用密钥管理系统(KMS)
    • 本指南通过在流水线内联生成 Containerfile 的方式,使用了简化的工作流
    • 在生产环境中,应使用规范的源代码管理和版本控制

    前提条件

    • 已安装 Tekton Pipelines 和 Tekton Chains 的 Kubernetes 集群
    • 已启用镜像推送功能的 registry
    • 已安装并配置好可访问集群的 kubectl CLI
    • 已安装 cosign CLI 工具
    • 已安装 jq CLI 工具

    流程概览

    步骤操作描述
    1生成签名密钥使用 cosign 创建用于签名产物的密钥对
    2设置认证配置用于镜像推送的 registry 凭据
    3配置 Tekton Chains设置 Chains 使用 OCI 存储并配置签名
    4创建示例流水线创建包含必要任务和 workspaces 的流水线定义
    5运行示例流水线创建并运行配置正确的 PipelineRun
    6等待签名等待 Chains 为 PipelineRun 完成签名
    7获取镜像信息从 PipelineRun 中提取镜像 URI 和 digest
    8验证签名验证镜像签名和 SLSA provenance attestations

    分步说明

    步骤 1:生成签名密钥

    TIP

    更多详细信息,请参阅 Signing Key Configuration

    Tekton Chains 使用加密密钥对产物进行签名。默认情况下,它会在 Chains 命名空间中查找名为 signing-secrets 的 secret。

    1. 如果尚未安装,请先安装 cosign

    2. 生成一对密钥,并将其存储为 Kubernetes secret:

      $ COSIGN_PASSWORD={password} cosign generate-key-pair k8s://tekton-pipelines/signing-secrets

Successfully created secret signing-secrets in namespace tekton-pipelines
Public key written to cosign.pub
      TIP

      此密码将存储在 tekton-pipelines 命名空间中名为 signing-secrets 的 Kubernetes secret 中。

    3. 验证 secret 已创建:

      $ kubectl get secret signing-secrets -n tekton-pipelines

NAME              TYPE     DATA   AGE
signing-secrets   Opaque   3      3m

    步骤 2:设置认证

    TIP

    更多详细信息,请参阅 Authentication for Chains

    配置用于镜像推送的 registry 凭据:

    1. 创建包含凭据的 secret:

      $ kubectl create secret docker-registry registry-credentials \
  --docker-server=<gcr.io> \
  --docker-username=<username> \
  --docker-email=<email> \
  --docker-password=<password> \
  -n $NAMESPACE

    2. 设置 config.json 键:

      $ DOCKER_CONFIG=$(kubectl get secret -n $NAMESPACE $REGISTRY_CREDENTIALS -o jsonpath='{.data.\.dockerconfigjson}')
$ kubectl patch secret -n $NAMESPACE $REGISTRY_CREDENTIALS -p "{\"data\":{\"config.json\":\"$DOCKER_CONFIG\"}}"

    3. 补丁修改 service account 以使用该 secret:

      $ kubectl patch serviceaccount $SERVICE_ACCOUNT_NAME \
  -p "{\"secrets\": [{\"name\": \"registry-credentials\"}]}" -n $NAMESPACE

    步骤 3:配置 Tekton Chains

    TIP

    更多详细信息,请参阅 Chains Configuration

    将 Tekton Chains 配置为以 OCI 格式存储产物:

    $ kubectl patch tektonconfigs.operator.tekton.dev config --type=merge -p='{
  "spec": {
    "chain": {
      "artifacts.oci.format": "simplesigning",
      "artifacts.oci.storage": "oci",
      "artifacts.pipelinerun.format": "in-toto",
      "artifacts.pipelinerun.storage": "oci",
      "artifacts.taskrun.format": "in-toto",
      "artifacts.taskrun.storage": "oci"
    }
  }
}'

    步骤 4:创建示例流水线

    这是一个 Pipeline 资源,用于构建镜像并生成 SLSA Provenance attestation。

    apiVersion: tekton.dev/v1
kind: Pipeline
metadata:
  name: chains-demo-1
spec:
  params:
    - default: |-
        echo "Generate a Containerfile for building an image."

        cat << 'EOF' > Containerfile
        FROM ubuntu:latest
        ENV TIME=1
        EOF

        echo -e "\nContainerfile contents:"
        echo "-------------------"
        cat Containerfile
        echo "-------------------"
        echo -e "\nContainerfile generated successfully!"
      description: A script to generate a Containerfile for building an image.
      name: generate-containerfile
      type: string
    - default: <registry>/test/chains/demo-1:latest
      description: The target image address built
      name: image
      type: string
  tasks:
    - name: generate-containerfile
      params:
        - name: script
          value: $(params.generate-containerfile)
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: run-script
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
    - name: build-image
      params:
        - name: IMAGES
          value:
            - $(params.image)
        - name: TLS_VERIFY
          value: "false"
      runAfter:
        - generate-containerfile
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: buildah
          - name: version
            value: "0.9"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: registryconfig
          workspace: registryconfig
  results:
    - description: first image artifact output
      name: first_image_ARTIFACT_OUTPUTS
      type: object
      value:
        digest: $(tasks.build-image.results.IMAGE_DIGEST)
        uri: $(tasks.build-image.results.IMAGE_URL)
  workspaces:
    - name: source
      description: 源代码所在的 workspace。
    - name: registryconfig
      description: 用于分发 registry 配置的 workspace。
    TIP

    在生产环境中,你应该:

    1. 使用 git-clone task 从仓库获取源代码
    2. 使用源代码中已有的 Containerfile 构建镜像
    3. 这种方式可确保正确的版本控制,并保持代码与流水线配置的分离
    YAML 字段说明
    • params:流水线的参数。
      • generate-containerfile:用于生成 Containerfile 以构建镜像的脚本。
      • image:要构建的目标镜像地址。
    • tasks:流水线的任务。
      • generate-containerfile:用于生成 Containerfile 以构建镜像的任务。
      • build-image:用于构建并将镜像推送到 registry 的任务。
        • params.TLS_VERIFY:是否验证 registry 的 TLS 证书。
    • results:流水线的结果。
      • first_image_ARTIFACT_OUTPUTS:第一个镜像产物输出的结果。
        • digest:镜像的 digest。
        • uri:镜像的 URI。
      • 此格式与 Tekton Chains 兼容,更多详细信息请参阅上文的 Tekton Chains Type Hinting
    • workspaces:流水线的 workspaces。
      • source:源代码所在的 workspace。
      • registryconfig:用于分发 registry 配置的 workspace。

    需要调整的配置

    • params
      • generate-containerfile
        • default:调整基础镜像地址。
      • image
        • default:要构建的目标镜像地址。

    将其保存为名为 chains.demo-1.pipeline.yaml 的 yaml 文件,并使用以下命令应用:

    $ export NAMESPACE=<default>
$ kubectl apply -n $NAMESPACE -f chains.demo-1.pipeline.yaml

    步骤 5:运行示例流水线

    这是一个 PipelineRun 资源,用于运行该流水线。

    apiVersion: tekton.dev/v1
kind: PipelineRun
metadata:
  generateName: chains-demo-1-
spec:
  pipelineRef:
    name: chains-demo-1
  taskRunTemplate:
    serviceAccountName: <default>
  workspaces:
    - name: registryconfig
      secret:
        secretName: <registry-credentials>
    - name: source
      volumeClaimTemplate:
        spec:
          accessModes:
            - ReadWriteOnce
          resources:
            requests:
              storage: 1Gi
          storageClassName: <nfs>
    YAML 字段说明
    • pipelineRef:要运行的流水线。
      • name:流水线名称。
    • taskRunTemplate:task run 模板。
      • serviceAccountName:流水线使用的 service account。
    • workspaces:流水线的 workspaces。
      • registryconfig:用于分发 registry 配置的 workspace。
      • source:源代码所在的 workspace。

    需要调整的配置

    • taskRunTemplate
    • workspaces
      • registryconfig
      • source
        • volumeClaimTemplate.spec.storageClassName:卷声明模板的 storage class 名称。

    将其保存为名为 chains.demo-1.pipelinerun.yaml 的 yaml 文件,并使用以下命令应用:

    $ export NAMESPACE=<default>

# 在该命名空间中创建 pipeline run 资源
$ kubectl create -n $NAMESPACE -f chains.demo-1.pipelinerun.yaml

    等待 PipelineRun 完成。

    $ kubectl get pipelinerun -n $NAMESPACE -w

chains-demo-1-<xxxxx>   True        Succeeded   2m         2m

    步骤 6:等待 PipelineRun 被签名

    等待 PipelineRun 带有 chains.tekton.dev/signed: "true" 注解。

    $ export NAMESPACE=<default>
$ export PIPELINERUN_NAME=<chains-demo-1-xxxxx>

$ kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o yaml | grep "chains.tekton.dev/signed"

    chains.tekton.dev/signed: "true"

    一旦 PipelineRun 带有 chains.tekton.dev/signed: "true" 注解,就表示镜像已签名。

    步骤 7:从 PipelineRun 获取镜像

    # 获取镜像 URI
$ export IMAGE_URI=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.uri}')

# 获取镜像 digest
$ export IMAGE_DIGEST=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.digest}')

# 将镜像 URI 和 digest 组合成完整的镜像引用
$ export IMAGE=$IMAGE_URI@$IMAGE_DIGEST

# 打印镜像引用
$ echo $IMAGE

<registry>/test/chains/demo-1:latest@sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046

    该镜像将用于验证签名。

    步骤 8:验证镜像和 attestation

    1. 获取签名公钥

      如果你没有权限,可以请管理员获取公钥。

      $ export NAMESPACE=<tekton-pipelines>
$ kubectl get secret -n $NAMESPACE signing-secrets -o jsonpath='{.data.cosign\.pub}' | base64 -d > cosign.pub

    2. 验证签名

      $ cosign verify --key cosign.pub ${IMAGE}

      如果成功,你将看到以下输出:

      [{"critical":{"identity":{"docker-reference":"<registry>/test/chains/demo-1"},"image":{"docker-manifest-digest":"sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046"},"type":"cosign container image signature"},"optional":null}]

    3. 验证 SLSA provenance attestation

      $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE}

      如果成功,你将看到以下输出:

      Verification for <registry>/test/chains/demo-1:latest --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key

{"payloadType":"application/vnd.in-toto+json","payload":"...","signatures":[{"keyid":"SHA256:B8CzieJ9/kKhU9hiIPXY+dvvz9DLVOQ3XokyYLdladc","sig":"MEQCIEeS/gGpMV4Y22pYJw3hTyCg92KXACAYvnDwm3fzPxyLAiA3cDP6zjCfaVrf35wED1ylSUdsEJzwlXDCvj2i2A6BYg=="}]}

    4. 使用 jq 提取 payload:

      $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE} | jq '.payload | @base64d' | jq -r '.' | jq '.'
      Attestation Payload
       {
   "_type": "https://in-toto.io/Statement/v0.1",
   "subject": [
     {
       "name": "<registry>/test/chains/demo-1",
       "digest": {
         "sha256": "213a270c14f88abdd283f4ceaf8a8a73f5f8b5c2303609295680a6e751ef6f0f"
       }
     }
   ],
   "predicateType": "https://slsa.dev/provenance/v0.2",
   "predicate": {
     "buildConfig": {
       "steps": [
         {
           "annotations": null,
           "arguments": [
             "--images",
             "<registry>/test/chains/demo-1:latest",
             "--build-args",
             ""
           ],
           "entryPoint": "",
           "environment": {
             "container": "build-and-push",
             "image": "oci://<registry>/devops/tektoncd/hub/buildah@sha256:8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
           }
         }
       ]
     },
     "buildType": "tekton.dev/v1beta1/TaskRun",
     "builder": {
       "id": "https://alauda.io/builders/tekton/v1"
     },
     "invocation": {
       "configSource": {
         "digest": {
           "sha256": "3225653d04c223be85d173747372290058a738427768c5668ddc784bf24de976"
         },
         "uri": "http://tekton-hub-api.tekton-pipelines:8000/v1/resource/catalog/task/buildah/0.9/yaml"
       },
       "environment": {
         "annotations": {
           "cpaas.io/creator": "admin@cpaas.io",
           "cpaas.io/operator": "admin@cpaas.io",
           "cpaas.io/updated-at": "2025-06-16T06:04:04Z",
           "pipeline.tekton.dev/affinity-assistant": "affinity-assistant-691f2fff6f",
           "pipeline.tekton.dev/release": "002f74eea37b0f5dbcfed39c13d7cd762c8fcdc4",
           "tekton.dev/categories": "Image Build",
           "tekton.dev/displayName": "Buildah",
           "tekton.dev/icon": "",
           "tekton.dev/pipelines.minVersion": "0.56.0",
           "tekton.dev/platforms": "linux/amd64,linux/arm64",
           "tekton.dev/tags": "image-build"
         },
         "labels": {
           "app.kubernetes.io/managed-by": "tekton-pipelines",
           "app.kubernetes.io/version": "0.9",
           "tekton.dev/memberOf": "tasks",
           "tekton.dev/pipeline": "chains-demo-1",
           "tekton.dev/pipelineRun": "chains-demo-1-zp9tk",
           "tekton.dev/pipelineRunUID": "ad8234b8-19a6-4c5c-b2fd-5673444aeda8",
           "tekton.dev/pipelineTask": "build-image",
           "tekton.dev/task": "buildah"
         }
       },
       "parameters": {
         "BUILDER_IMAGE": "<registry>/devops/tektoncd/hub/buildah:v1.33.12-v4.0.0-beta.240.g2b61d46",
         "BUILD_ARGS": [
           ""
         ],
         "BUILD_EXTRA_ARGS": "",
         "CONTEXT": ".",
         "CONTAINERFILE": "./Containerfile",
         "FORMAT": "oci",
         "IMAGES": [
           "<registry>/test/chains/demo-1:latest"
         ],
         "PUSH_EXTRA_ARGS": "",
         "SKIP_PUSH": "false",
         "STORAGE_DRIVER": "vfs",
         "TLS_VERIFY": "false",
         "VERBOSE": "false"
       }
     },
     "materials": [
       {
         "digest": {
           "sha256": "8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
         },
         "uri": "oci://<registry>/devops/tektoncd/hub/buildah"
       }
     ],
     "metadata": {
       "buildFinishedOn": "2025-06-16T06:04:41Z",
       "buildStartedOn": "2025-06-16T06:04:15Z",
       "completeness": {
         "environment": false,
         "materials": false,
         "parameters": false
       },
       "reproducible": false
     }
   }
 }

    预期结果

    完成本指南后:

    • 你已拥有一个可工作的 Tekton Chains 设置,并且配置了签名密钥
    • PipelineRuns 在完成时会自动签名,并且镜像具有 SLSA Provenance attestation
    • 你可以验证签名和 attestations,以确保构建的完整性

    本指南为在 CI/CD 流水线中实现供应链安全提供了基础。在生产环境中,你应该:

    1. 使用规范的源代码管理和版本控制
    2. 使用云 KMS 实现安全的密钥管理
    3. 在部署流程中设置自动化验证
    4. 配置适当的访问控制和安全策略
    5. 定期轮换签名密钥并更新安全配置

    参考资料