Alauda DevOps Pipelines Docs
  • 简体中文

    • Signed Provenance

    本指南帮助新用户快速设置 Tekton Chains,通过为 Tekton PipelineRuns 生成和验证 SLSA Provenance,保障其 CI/CD 流水线的安全。

    目录

    介绍

    使用场景

    Tekton Chains 通过自动为构建产物生成 SLSA Provenance,帮助您保障软件供应链的安全。本指南演示如何设置 Tekton Chains、生成签名密钥、运行示例流水线以及验证其 SLSA Provenance。

    预计阅读时间

    15-20 分钟

    重要说明

    • 使用 Alauda Devops Pipelines Operator 时,Tekton Chains 默认安装在 tekton-pipelines 命名空间中
    • 签名密钥应安全管理;在生产环境中,建议使用密钥管理系统(KMS)
    • 本指南采用简化流程,在流水线内联生成 Dockerfile
    • 生产环境中,应使用合适的源代码管理和版本控制

    前提条件

    • 已安装 Tekton Pipelines 和 Tekton Chains 的 Kubernetes 集群
    • 支持镜像推送的镜像仓库
    • 已安装并配置好访问集群的 kubectl CLI
    • 已安装 cosign CLI 工具
    • 已安装 jq CLI 工具

    流程概览

    步骤操作说明
    1生成签名密钥使用 cosign 创建用于签名产物的密钥对
    2设置认证配置镜像推送的仓库凭据
    3配置 Tekton Chains设置 Chains 使用 OCI 存储并配置签名
    4创建示例流水线创建包含必要任务和工作区的流水线定义
    5运行示例流水线创建并运行配置正确的 PipelineRun
    6等待签名完成等待 PipelineRun 被 Chains 签名
    7获取镜像信息从 PipelineRun 中提取镜像 URI 和摘要
    8验证签名验证镜像签名及 SLSA provenance 证明

    详细步骤说明

    步骤 1:生成签名密钥

    TIP

    更多详情请参阅 Signing Key Configuration

    Tekton Chains 使用加密密钥对产物进行签名。默认情况下,它会在 Chains 命名空间中查找名为 signing-secrets 的 secret。

    1. 如果尚未安装,请安装 cosign

    2. 生成密钥对并以 Kubernetes secret 形式存储:

      $ COSIGN_PASSWORD={password} cosign generate-key-pair k8s://tekton-pipelines/signing-secrets

Successfully created secret signing-secrets in namespace tekton-pipelines
Public key written to cosign.pub
      TIP

      此密码将存储在 tekton-pipelines 命名空间中的名为 signing-secrets 的 Kubernetes secret 中。

    3. 验证 secret 是否创建成功:

      $ kubectl get secret signing-secrets -n tekton-pipelines

NAME              TYPE     DATA   AGE
signing-secrets   Opaque   3      3m

    步骤 2:设置认证

    TIP

    更多详情请参阅 Authentication for Chains

    配置镜像推送的仓库凭据:

    1. 创建包含凭据的 secret:

      $ kubectl create secret docker-registry registry-credentials \
  --docker-server=<gcr.io> \
  --docker-username=<username> \
  --docker-email=<email> \
  --docker-password=<password> \
  -n $NAMESPACE

    2. 设置 config.json 键:

      $ DOCKER_CONFIG=$(kubectl get secret -n $NAMESPACE $REGISTRY_CREDENTIALS -o jsonpath='{.data.\.dockerconfigjson}')
$ kubectl patch secret -n $NAMESPACE $REGISTRY_CREDENTIALS -p "{\"data\":{\"config.json\":\"$DOCKER_CONFIG\"}}"

    3. 修改服务账户以使用该 secret:

      $ kubectl patch serviceaccount $SERVICE_ACCOUNT_NAME \
  -p "{\"secrets\": [{\"name\": \"registry-credentials\"}]}" -n $NAMESPACE

    步骤 3:配置 Tekton Chains

    TIP

    更多详情请参阅 Chains Configuration

    配置 Tekton Chains 以 OCI 格式存储产物:

    $ kubectl patch tektonconfigs.operator.tekton.dev config --type=merge -p='{
  "spec": {
    "chain": {
      "artifacts.oci.format": "simplesigning",
      "artifacts.oci.storage": "oci",
      "artifacts.pipelinerun.format": "in-toto",
      "artifacts.pipelinerun.storage": "oci",
      "artifacts.taskrun.format": "in-toto",
      "artifacts.taskrun.storage": "oci"
    }
  }
}'

    步骤 4:创建示例流水线

    这是一个 Pipeline 资源,用于构建镜像并生成 SLSA Provenance 证明。

    apiVersion: tekton.dev/v1
kind: Pipeline
metadata:
  name: chains-demo-1
spec:
  params:
    - default: |-
        echo "Generate a Dockerfile for building an image."

        cat << 'EOF' > Dockerfile
        FROM ubuntu:latest
        ENV TIME=1
        EOF

        echo -e "\nDockerfile contents:"
        echo "-------------------"
        cat Dockerfile
        echo "-------------------"
        echo -e "\nDockerfile generated successfully!"
      description: A script to generate a Dockerfile for building an image.
      name: generate-dockerfile
      type: string
    - default: <registry>/test/chains/demo-1:latest
      description: The target image address built
      name: image
      type: string
  tasks:
    - name: generate-dockerfile
      params:
        - name: script
          value: $(params.generate-dockerfile)
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: run-script
          - name: version
            value: "0.1"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
    - name: build-image
      params:
        - name: IMAGES
          value:
            - $(params.image)
        - name: TLS_VERIFY
          value: "false"
      runAfter:
        - generate-dockerfile
      taskRef:
        params:
          - name: kind
            value: task
          - name: catalog
            value: catalog
          - name: name
            value: buildah
          - name: version
            value: "0.9"
        resolver: hub
      timeout: 30m0s
      workspaces:
        - name: source
          workspace: source
        - name: dockerconfig
          workspace: dockerconfig
  results:
    - description: first image artifact output
      name: first_image_ARTIFACT_OUTPUTS
      type: object
      value:
        digest: $(tasks.build-image.results.IMAGE_DIGEST)
        uri: $(tasks.build-image.results.IMAGE_URL)
  workspaces:
    - name: source
      description: The workspace for source code.
    - name: dockerconfig
      description: The workspace for distribution registry configuration.
    TIP

    生产环境中,您应当:

    1. 使用 git-clone 任务从代码仓库拉取源代码
    2. 使用源代码中已有的 Dockerfile 构建镜像
    3. 该方式确保版本控制的规范性,并保持代码与流水线配置的分离
    YAML 字段说明
    • params:流水线参数。
      • generate-dockerfile:生成用于构建镜像的 Dockerfile 的脚本。
      • image:构建的目标镜像地址。
    • tasks:流水线任务。
      • generate-dockerfile:生成 Dockerfile 的任务。
      • build-image:构建并推送镜像到仓库的任务。
        • params.TLS_VERIFY:是否验证仓库的 TLS 证书。
    • results:流水线结果。
      • first_image_ARTIFACT_OUTPUTS:第一个镜像产物输出结果。
        • digest:镜像摘要。
        • uri:镜像 URI。
      • 此格式符合 Tekton Chains 规范,详见上文 Tekton Chains Type Hinting
    • workspaces:流水线工作区。
      • source:源代码工作区。
      • dockerconfig:分发仓库配置工作区。

    需要调整配置

    • params
      • generate-dockerfile
        • default:调整基础镜像地址。
      • image
        • default:构建的目标镜像地址。

    保存为 chains.demo-1.pipeline.yaml 文件,并执行:

    $ export NAMESPACE=<default>
$ kubectl apply -n $NAMESPACE -f chains.demo-1.pipeline.yaml

    步骤 5:运行示例流水线

    这是一个 PipelineRun 资源,用于运行流水线。

    apiVersion: tekton.dev/v1
kind: PipelineRun
metadata:
  generateName: chains-demo-1-
spec:
  pipelineRef:
    name: chains-demo-1
  taskRunTemplate:
    serviceAccountName: <default>
  workspaces:
    - name: dockerconfig
      secret:
        secretName: <registry-credentials>
    - name: source
      volumeClaimTemplate:
        spec:
          accessModes:
            - ReadWriteOnce
          resources:
            requests:
              storage: 1Gi
          storageClassName: <nfs>
    YAML 字段说明
    • pipelineRef:要运行的流水线。
      • name:流水线名称。
    • taskRunTemplate:任务运行模板。
      • serviceAccountName:流水线使用的服务账户。
    • workspaces:流水线工作区。
      • dockerconfig:分发仓库配置工作区。
      • source:源代码工作区。

    需要调整配置

    • taskRunTemplate
    • workspaces
      • dockerconfig
      • source
        • volumeClaimTemplate.spec.storageClassName:卷声明模板的存储类名称。

    保存为 chains.demo-1.pipelinerun.yaml 文件,并执行:

    $ export NAMESPACE=<default>

# 在命名空间中创建 PipelineRun 资源
$ kubectl create -n $NAMESPACE -f chains.demo-1.pipelinerun.yaml

    等待 PipelineRun 完成。

    $ kubectl get pipelinerun -n $NAMESPACE -w

chains-demo-1-<xxxxx>   True        Succeeded   2m         2m

    步骤 6:等待 PipelineRun 被签名

    等待 PipelineRun 拥有 chains.tekton.dev/signed: "true" 注解。

    $ export NAMESPACE=<default>
$ export PIPELINERUN_NAME=<chains-demo-1-xxxxx>

$ kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o yaml | grep "chains.tekton.dev/signed"

    chains.tekton.dev/signed: "true"

    当 PipelineRun 拥有 chains.tekton.dev/signed: "true" 注解时,表示镜像已被签名。

    步骤 7:从 PipelineRun 获取镜像信息

    # 获取镜像 URI
$ export IMAGE_URI=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.uri}')

# 获取镜像摘要
$ export IMAGE_DIGEST=$(kubectl get pipelinerun -n $NAMESPACE $PIPELINERUN_NAME -o jsonpath='{.status.results[?(@.name=="first_image_ARTIFACT_OUTPUTS")].value.digest}')

# 组合镜像 URI 和摘要,形成完整镜像引用
$ export IMAGE=$IMAGE_URI@$IMAGE_DIGEST

# 打印镜像引用
$ echo $IMAGE

<registry>/test/chains/demo-1:latest@sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046

    该镜像将用于验证签名。

    步骤 8:验证镜像及证明

    1. 获取签名公钥

      如果没有权限,可联系管理员获取公钥。

      $ export NAMESPACE=<tekton-pipelines>
$ kubectl get secret -n $NAMESPACE signing-secrets -o jsonpath='{.data.cosign\.pub}' | base64 -d > cosign.pub

    2. 验证签名

      $ cosign verify --key cosign.pub ${IMAGE}

      成功时,输出如下:

      [{"critical":{"identity":{"docker-reference":"<registry>/test/chains/demo-1"},"image":{"docker-manifest-digest":"sha256:93635f39cb31de5c6988cdf1f10435c41b3fb85570c930d51d41bbadc1a90046"},"type":"cosign container image signature"},"optional":null}]

    3. 验证 SLSA provenance 证明

      $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE}

      成功时,输出如下:

      Verification for <registry>/test/chains/demo-1:latest --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key

{"payloadType":"application/vnd.in-toto+json","payload":"...","signatures":[{"keyid":"SHA256:B8CzieJ9/kKhU9hiIPXY+dvvz9DLVOQ3XokyYLdladc","sig":"MEQCIEeS/gGpMV4Y22pYJw3hTyCg92KXACAYvnDwm3fzPxyLAiA3cDP6zjCfaVrf35wED1ylSUdsEJzwlXDCvj2i2A6BYg=="}]}

    4. 使用 jq 提取负载:

      $ cosign verify-attestation --key cosign.pub --type slsaprovenance ${IMAGE} | jq '.payload | @base64d' | jq -r '.' | jq '.'
      证明负载
       {
   "_type": "https://in-toto.io/Statement/v0.1",
   "subject": [
     {
       "name": "<registry>/test/chains/demo-1",
       "digest": {
         "sha256": "213a270c14f88abdd283f4ceaf8a8a73f5f8b5c2303609295680a6e751ef6f0f"
       }
     }
   ],
   "predicateType": "https://slsa.dev/provenance/v0.2",
   "predicate": {
     "buildConfig": {
       "steps": [
         {
           "annotations": null,
           "arguments": [
             "--images",
             "<registry>/test/chains/demo-1:latest",
             "--build-args",
             ""
           ],
           "entryPoint": "",
           "environment": {
             "container": "build-and-push",
             "image": "oci://<registry>/devops/tektoncd/hub/buildah@sha256:8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
           }
         }
       ]
     },
     "buildType": "tekton.dev/v1beta1/TaskRun",
     "builder": {
       "id": "https://alauda.io/builders/tekton/v1"
     },
     "invocation": {
       "configSource": {
         "digest": {
           "sha256": "3225653d04c223be85d173747372290058a738427768c5668ddc784bf24de976"
         },
         "uri": "http://tekton-hub-api.tekton-pipelines:8000/v1/resource/catalog/task/buildah/0.9/yaml"
       },
       "environment": {
         "annotations": {
           "cpaas.io/creator": "admin@cpaas.io",
           "cpaas.io/operator": "admin@cpaas.io",
           "cpaas.io/updated-at": "2025-06-16T06:04:04Z",
           "pipeline.tekton.dev/affinity-assistant": "affinity-assistant-691f2fff6f",
           "pipeline.tekton.dev/release": "002f74eea37b0f5dbcfed39c13d7cd762c8fcdc4",
           "tekton.dev/categories": "Image Build",
           "tekton.dev/displayName": "Buildah",
           "tekton.dev/icon": "",
           "tekton.dev/pipelines.minVersion": "0.56.0",
           "tekton.dev/platforms": "linux/amd64,linux/arm64",
           "tekton.dev/tags": "image-build"
         },
         "labels": {
           "app.kubernetes.io/managed-by": "tekton-pipelines",
           "app.kubernetes.io/version": "0.9",
           "tekton.dev/memberOf": "tasks",
           "tekton.dev/pipeline": "chains-demo-1",
           "tekton.dev/pipelineRun": "chains-demo-1-zp9tk",
           "tekton.dev/pipelineRunUID": "ad8234b8-19a6-4c5c-b2fd-5673444aeda8",
           "tekton.dev/pipelineTask": "build-image",
           "tekton.dev/task": "buildah"
         }
       },
       "parameters": {
         "BUILDER_IMAGE": "<registry>/devops/tektoncd/hub/buildah:v1.33.12-v4.0.0-beta.240.g2b61d46",
         "BUILD_ARGS": [
           ""
         ],
         "BUILD_EXTRA_ARGS": "",
         "CONTEXT": ".",
         "DOCKERFILE": "./Dockerfile",
         "FORMAT": "oci",
         "IMAGES": [
           "<registry>/test/chains/demo-1:latest"
         ],
         "PUSH_EXTRA_ARGS": "",
         "SKIP_PUSH": "false",
         "STORAGE_DRIVER": "vfs",
         "TLS_VERIFY": "false",
         "VERBOSE": "false"
       }
     },
     "materials": [
       {
         "digest": {
           "sha256": "8d5ea9ecd9b531e798fecd87ca3b64ee1c95e4f2621d09e893c58ed593bfd4c4"
         },
         "uri": "oci://<registry>/devops/tektoncd/hub/buildah"
       }
     ],
     "metadata": {
       "buildFinishedOn": "2025-06-16T06:04:41Z",
       "buildStartedOn": "2025-06-16T06:04:15Z",
       "completeness": {
         "environment": false,
         "materials": false,
         "parameters": false
       },
       "reproducible": false
     }
   }
 }

    预期结果

    完成本指南后:

    • 您拥有一个可用的 Tekton Chains 设置及签名密钥
    • PipelineRuns 完成后会自动签名,镜像带有 SLSA Provenance 证明
    • 您可以验证签名和证明,确保构建的完整性

    本指南为在 CI/CD 流水线中实现供应链安全提供基础。在生产环境中,您应当:

    1. 使用合适的源代码管理和版本控制
    2. 采用云端 KMS 实现安全的密钥管理
    3. 在部署流程中设置自动化验证
    4. 配置合理的访问控制和安全策略
    5. 定期轮换签名密钥并更新安全配置

    参考资料