基础镜像和SBOM验证

如果我们只允许部署特定类型的基础镜像，可以在获取镜像后将该信息保存到镜像证明（image attestation）中。

在漏洞扫描与验证中，cosign-vuln格式的证明已经包含了基础镜像信息。但这里我们将采用不同的方法，使用 syft 为镜像生成 SBOM。 SBOM 信息同样包含基础镜像信息。

在 ACP（Alauda Container Platform）中，可以使用 Tekton Pipeline 中的 trivy 或 syft 任务为镜像生成 SBOM。这里我们使用 syft 任务生成 SBOM。

功能概述

该方法使用类似 syft 的工具为镜像生成 SBOM，然后使用 Kyverno 验证 SBOM：

使用 syft Tekton 任务为镜像生成 SBOM 并附加到镜像。
配置 Kyverno 规则验证 SBOM。
使用该镜像创建 Pod 以验证 SBOM。

使用场景

以下场景需要参考本文档指导：

在 Kubernetes 集群中使用 Kyverno 实现基础镜像验证
强制安全策略，仅允许特定基础镜像部署
在 CI/CD 流水线中设置自动 SBOM 生成和验证
确保生产环境基础镜像合规
通过验证容器镜像的基础镜像信息，实现供应链安全控制

前提条件

已安装 Tekton Pipelines、Tekton Chains 和 Kyverno 的 Kubernetes 集群
支持镜像推送的镜像仓库
已安装并配置好访问集群的 kubectl CLI
已安装 cosign CLI 工具
已安装 jq CLI 工具

流程概览

步骤	操作	描述
1	生成签名密钥	使用 cosign 创建用于签名工件的密钥对
2	设置认证	配置镜像仓库凭证以支持镜像推送
3	配置 Tekton Chains	设置 Chains 使用 OCI 存储并配置签名，禁用 TaskRun SLSA Provenance
4	创建示例流水线	创建包含 syft 任务生成 SBOM 的流水线定义
5	运行示例流水线	创建并运行配置正确的 PipelineRun
6	等待签名完成	等待 PipelineRun 被 Chains 签名
7	获取镜像信息	从 PipelineRun 中提取镜像 URI 和摘要
8	（可选）获取 SBOM 证明	获取并验证 SBOM 证明
9	使用 Kyverno 验证	创建并应用 Kyverno 策略验证基础镜像信息
10	清理资源	删除测试资源和策略

详细步骤说明

步骤 1-3：基础配置

这些步骤与快速开始：签名溯源指南相同。请按照该指南完成：

步骤 1：生成签名密钥
步骤 2：设置认证
步骤 3：配置 Tekton Chains
获取签名密钥 Secret
- 重要：此处仅为方便起见，使用了 Chains 的全局签名证书。实际使用中，可以使用单独证书对镜像漏洞信息进行签名。
- 将 Secret 导入流水线执行的命名空间。

步骤 4：创建示例流水线

这是一个 Pipeline 资源，用于构建镜像并生成 SBOM。

apiVersion: tekton.dev/v1
kind: Pipeline
metadata:
  name: chains-demo-5
spec:
  params:
    - default: |-
        echo "Generate a Dockerfile for building an image."

        cat << 'EOF' > Dockerfile
        FROM ubuntu:latest
        ENV TIME=1
        EOF

        echo -e "\nDockerfile contents:"
        echo "-------------------"
        cat Dockerfile
        echo "-------------------"
        echo -e "\nDockerfile generated successfully!"
      description: A script to generate a Dockerfile for building an image.
      name: generate-dockerfile
      type: string
    - default: <registry>/test/chains/demo-5:latest
      description: The target image address built
      name: image
      type: string
  results:
    - description: first image artifact output
      name: first_image_ARTIFACT_OUTPUTS
      type: object
      value:
        digest: $(tasks.build-image.results.IMAGE_DIGEST)
        uri: $(tasks.build-image.results.IMAGE_URL)
  tasks:
    - name: generate-dockerfile
      params:
        - name: script
          value: $(params.generate-dockerfile)
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: run-script
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
    - name: build-image
      params:
        - name: IMAGES
          value:
            - $(params.image)
        - name: TLS_VERIFY
          value: "false"
      runAfter:
        - generate-dockerfile
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: buildah
          - name: version
            value: "0.9"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: dockerconfig
          workspace: dockerconfig
    - name: syft-sbom
      params:
        - name: COMMAND
          value: |-
            set -x

            mkdir -p .git

            echo "Generate sbom.json"
            syft scan $(tasks.build-image.results.IMAGE_URL)@$(tasks.build-image.results.IMAGE_DIGEST) -o cyclonedx-json=.git/sbom.json > /dev/null

            echo -e "\n\n"
            cat .git/sbom.json
            echo -e "\n\n"

            echo "Generate and Attestation sbom"
            syft attest $(tasks.build-image.results.IMAGE_URL)@$(tasks.build-image.results.IMAGE_DIGEST) -o cyclonedx-json
      runAfter:
        - build-image
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: syft
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: dockerconfig
          workspace: dockerconfig
        - name: signkey
          workspace: signkey
  workspaces:
    - name: source
      description: The workspace for source code.
    - name: dockerconfig
      description: The workspace for distribution registry configuration.
    - name: signkey
      description: The workspace for private keys and passwords used for image signatures.

TIP

本教程通过在流水线内联生成 Dockerfile 和 git-clone 任务输出，演示了简化的工作流。在生产环境中，通常应：

使用 git-clone 任务从代码仓库拉取源代码
使用源代码中的 Dockerfile 构建镜像
该方式确保版本控制的正确性，并保持代码与流水线配置的分离

YAML 字段说明

与步骤 4：创建示例流水线相同，但增加了以下内容：
- workspaces:
  - signkey：用于镜像签名的私钥和密码的工作空间。
- tasks:
  - syft-sbom：生成镜像 SBOM 并上传证明的任务。 :::

保存为 chains-demo-5.yaml 文件并应用：

$ export NAMESPACE=<default>

# 在命名空间中创建流水线
$ kubectl create -n $NAMESPACE -f chains-demo-5.yaml

pipeline.tekton.dev/chains-demo-5 created

步骤 5：运行示例流水线

这是一个 PipelineRun 资源，用于运行流水线。

apiVersion: tekton.dev/v1
kind: PipelineRun
metadata:
  generateName: chains-demo-5-
spec:
  pipelineRef:
    name: chains-demo-5
  taskRunTemplate:
    serviceAccountName: <default>
  workspaces:
    - name: dockerconfig
      secret:
        secretName: <registry-credentials>
    - name: source
      volumeClaimTemplate:
        spec:
          accessModes:
            - ReadWriteOnce
          resources:
            requests:
              storage: 1Gi
          storageClassName: <nfs>

:::details {title="YAML 字段说明"}

与步骤 5：运行示例流水线相同，仅介绍差异。
workspaces
- signkey：签名密钥的 Secret 名称。
  - secret.secretName：前面步骤获取签名密钥 Secret中准备的签名 Secret，但需创建与流水线运行相同命名空间的新 Secret。 :::

保存为 chains-demo-5.pipelinerun.yaml 文件并应用：

$ export NAMESPACE=<default>

# 在命名空间中创建流水线运行
$ kubectl create -n $NAMESPACE -f chains-demo-5.pipelinerun.yaml

等待 PipelineRun 运行完成。

$ kubectl get pipelinerun -n $NAMESPACE -w

chains-demo-5-<xxxxx>     True        Succeeded   2m  2m

步骤 6：等待 PipelineRun 签名完成

等待 PipelineRun 拥有 chains.tekton.dev/signed: "true" 注解。

$ export NAMESPACE=<default>
$ export PIPELINERUN_NAME=<chains-demo-5-xxxxx>

$ kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o yaml | grep "chains.tekton.dev/signed"

    chains.tekton.dev/signed: "true"

当 PipelineRun 拥有该注解时，表示镜像已签名。

步骤 7：从 PipelineRun 获取镜像信息

# 获取镜像 URI
$ export IMAGE_URI=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.uri}')

# 获取镜像摘要
$ export IMAGE_DIGEST=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.digest}')

# 组合镜像 URI 和摘要，形成完整镜像引用
$ export IMAGE=$IMAGE_URI@$IMAGE_DIGEST

# 打印镜像引用
$ echo $IMAGE

<registry>/test/chains/demo-5:latest@sha256:a6c727554be7f9496e413a789663060cd2e62b3be083954188470a94b66239c7

该镜像将用于验证 SBOM。

步骤 8：（可选）获取 SBOM 证明

如果您对 SBOM 证明内容感兴趣，可以继续阅读以下内容。

有关 cyclonedx SBOM 证明的更多细节，请参考 cyclonedx SBOM attestation

根据获取签名公钥章节获取签名公钥。

# 禁用 tlog 上传并启用私有基础设施
$ export COSIGN_TLOG_UPLOAD=false
$ export COSIGN_PRIVATE_INFRASTRUCTURE=true

$ export IMAGE=<<registry>/test/chains/demo-5:latest@sha256:a6c727554be7f9496e413a789663060cd2e62b3be083954188470a94b66239c7>

$ cosign verify-attestation --key cosign.pub --type cyclonedx $IMAGE | jq -r '.payload | @base64d' | jq -s

输出类似如下，包含镜像的组件信息。

:::details {title="cyclonedx SBOM 证明"}

{
  "_type": "https://in-toto.io/Statement/v0.1",
  "predicateType": "https://cyclonedx.org/bom",
  "predicate": {
    "$schema": "http://cyclonedx.org/schema/bom-1.6.schema.json",
    "bomFormat": "CycloneDX",
    "components": [
      {
        "bom-ref": "os:ubuntu@24.04",
        "licenses": [
          {
            "license": {
              "name": "GPL"
            }
          }
        ],
        "description": "Ubuntu 24.04.2 LTS",
        "name": "ubuntu",
        "type": "operating-system",
        "version": "24.04"
      }
    ],
    "metadata": {
      "timestamp": "2025-06-07T09:56:05Z",
      "tools": {
        "components": [
          {
            "author": "anchore",
            "name": "syft",
            "type": "application",
            "version": "1.23.1"
          }
        ]
      }
    }
  }
}

:::details {title="字段说明"}

predicateType：谓词类型。
predicate：
- components：镜像组件。
  - bom-ref：组件的 BOM 引用。
  - licenses：组件的许可证。
    - license：许可证信息。
      - name：许可证名称。
      - id：许可证 ID。
  - name：组件名称。
  - type：组件类型。
  - version：组件版本。
- metadata：镜像元数据。
  - timestamp：时间戳。
  - tools：
    - components：工具组件。
      - author：工具作者。
      - name：工具名称。
      - type：工具类型。
      - version：工具版本。 :::

步骤 9：验证基础镜像信息

步骤 9.1：创建 Kyverno 策略验证基础镜像信息

TIP

此步骤需要集群管理员权限。

有关 Kyverno ClusterPolicy 的更多信息，请参考 Kyverno ClusterPolicy

策略如下：

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: verify-base-image
spec:
  webhookConfiguration:
    failurePolicy: Fail
    timeoutSeconds: 30
  background: false
  rules:
    - name: check-image
      match:
        any:
          - resources:
              kinds:
                - Pod
              namespaces:
                - policy
      verifyImages:
        - imageReferences:
            - "*"
            # - "<registry>/test/*"
          skipImageReferences:
            - "ghcr.io/trusted/*"
          failureAction: Enforce
          verifyDigest: false
          required: false
          useCache: false
          imageRegistryCredentials:
            allowInsecureRegistry: true
            secrets:
              # 该凭证需存在于 Kyverno 部署的命名空间
              - registry-credentials

          attestations:
            - type: https://cyclonedx.org/bom
              attestors:
                - entries:
                    - attestor:
                      keys:
                        publicKeys: |- # <- 签名者的公钥
                          -----BEGIN PUBLIC KEY-----
                          MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFZNGfYwn7+b4uSdEYLKjxWi3xtP3
                          UkR8hQvGrG25r0Ikoq0hI3/tr0m7ecvfM75TKh5jGAlLKSZUJpmCGaTToQ==
                          -----END PUBLIC KEY-----

                        ctlog:
                          ignoreSCT: true

                        rekor:
                          ignoreTlog: true

              conditions:
                - any:
                    - key: "{{ components[?type=='operating-system'] | [?name=='ubuntu' && (version=='22.04' || version=='24.04')] | length(@) }}"
                      operator: GreaterThan
                      value: 0
                      message: "操作系统必须是 Ubuntu 22.04 或 24.04，而非 {{ components[?type=='operating-system'].name[] }} {{ components[?type=='operating-system'].version[] }}"

                    - key: "{{ components[?type=='operating-system'] | [?name=='alpine' && (version=='3.18' || version=='3.20')] | length(@) }}"
                      operator: GreaterThan
                      value: 0
                      message: "操作系统必须是 Alpine 3.18 或 3.20，而非 {{ components[?type=='operating-system'].name[] }} {{ components[?type=='operating-system'].version[] }}"
                       PkgIDs: {{ scanner.result.Results[].Vulnerabilities[?CVSS.redhat.V3Score > `1.0`].PkgID[] }}.

:::details {title="YAML 字段说明"}

策略与镜像签名验证中大致相同
spec.rules[0].verifyImages[].attestations[0].conditions
- type：cyclonedx SBOM 证明类型为 https://cyclonedx.org/bom
- attestors：同上。
- conditions：验证条件。
  - any：满足任一条件即可。
    - key: "{{ components[?type=='operating-system'] | [?name=='ubuntu' && (version=='22.04' || version=='24.04')] | length(@) }}"：操作系统必须是 Ubuntu 22.04 或 24.04。
    - key: "{{ components[?type=='operating-system'] | [?name=='alpine' && (version=='3.18' || version=='3.20')] | length(@) }}"：操作系统必须是 Alpine 3.18 或 3.20。 :::

将策略保存为 kyverno.verify-base-image.yaml 文件并应用：

$ kubectl create -f kyverno.verify-base-image.yaml

clusterpolicy.kyverno.io/verify-base-image created

步骤 9.2：验证策略

在定义策略的 policy 命名空间中，创建 Pod 以验证策略。

使用构建好的镜像创建 Pod。

$ export NAMESPACE=<policy>
$ export IMAGE=<<registry>/test/chains/demo-5:latest@sha256:a6c727554be7f9496e413a789663060cd2e62b3be083954188470a94b66239c7>

$ kubectl run -n $NAMESPACE base-image --image=${IMAGE} -- sleep 3600

如果基础镜像是 Ubuntu 22.04 或 24.04，Pod 将成功创建。

将 ClusterPolicy 中的条件改为只允许 Alpine 3.18 或 3.20。

conditions:
  - any:
      - key: "{{ components[?type=='operating-system'] | [?name=='alpine' && (version=='3.18' || version=='3.20')] | length(@) }}"
        operator: GreaterThan
        value: 0
        message: "操作系统必须是 Alpine 3.18 或 3.20，而非 {{ components[?type=='operating-system'].name[] }} {{ components[?type=='operating-system'].version[] }}"

然后创建 Pod 验证策略。

$ kubectl run -n $NAMESPACE deny-base-image --image=${IMAGE} -- sleep 3600

将收到如下输出：

Error from server: admission webhook "mutate.kyverno.svc-fail" denied the request:

resource Pod/policy/deny-base-image was blocked due to the following policies

verify-base-image:
  check-image: 'image attestations verification failed, verifiedCount: 0, requiredCount:
    1, error: .attestations[0].attestors[0].entries[0].keys: attestation checks failed
    for <registry>/test/chains/demo-5:latest and predicate https://cyclonedx.org/bom:
    The operating system must be Alpine 3.18 or 3.20, not ["ubuntu"] ["24.04"]'

步骤 10：清理资源

删除前面步骤中创建的 Pod。

$ export NAMESPACE=<policy>
$ kubectl delete pod -n $NAMESPACE base-image

删除策略。

$ kubectl delete clusterpolicy verify-base-image

预期结果

完成本指南后：

已成功搭建 Tekton Chains 生成 SBOM 和 Kyverno 验证基础镜像的环境
容器镜像自动包含 SBOM 信息的证明
仅允许指定基础镜像的镜像在指定命名空间中部署
不合规基础镜像的镜像被 Kyverno 策略自动阻止
通过验证容器镜像的基础镜像信息，实现了基础的供应链安全控制

本指南为在 CI/CD 流水线中实现供应链安全提供了基础。在生产环境中，您应：

配置合理的命名空间隔离和访问控制
实施安全的签名密钥管理
设置策略违规的监控和告警
定期轮换签名密钥并更新安全策略

基础镜像和SBOM验证

目录

功能概述

使用场景

前提条件

流程概览

详细步骤说明

步骤 1-3：基础配置

步骤 4：创建示例流水线

步骤 5：运行示例流水线

步骤 6：等待 PipelineRun 签名完成

步骤 7：从 PipelineRun 获取镜像信息

步骤 8：（可选）获取 SBOM 证明

步骤 9：验证基础镜像信息

步骤 9.1：创建 Kyverno 策略验证基础镜像信息

步骤 9.2：验证策略

步骤 10：清理资源

预期结果

参考资料

#基础镜像和SBOM验证

#目录

#功能概述

#使用场景

#前提条件

#流程概览

#详细步骤说明

#步骤 1-3：基础配置

#步骤 4：创建示例流水线

#步骤 5：运行示例流水线

#步骤 6：等待 PipelineRun 签名完成

#步骤 7：从 PipelineRun 获取镜像信息

#步骤 8：（可选）获取 SBOM 证明

#步骤 9：验证基础镜像信息

#步骤 9.1：创建 Kyverno 策略验证基础镜像信息

#步骤 9.2：验证策略

#步骤 10：清理资源

#预期结果

#参考资料

基础镜像和SBOM验证

目录

功能概述

使用场景

前提条件

流程概览

详细步骤说明

步骤 1-3：基础配置

步骤 4：创建示例流水线

步骤 5：运行示例流水线

步骤 6：等待 PipelineRun 签名完成

步骤 7：从 PipelineRun 获取镜像信息

步骤 8：（可选）获取 SBOM 证明

步骤 9：验证基础镜像信息

步骤 9.1：创建 Kyverno 策略验证基础镜像信息

步骤 9.2：验证策略

步骤 10：清理资源

预期结果

参考资料