Membuat pengesahan dengan Kartu Skor OpenSSF

Tutorial ini menunjukkan cara menggunakan OpenSSF Scorecard untuk memeriksa praktik terbaik keamanan rantai pasokan pada image container. Pengesah Kartu Skor berjalan sebagai bagian dari pipeline Cloud Build untuk membuat pengesahan yang dapat diverifikasi oleh Otorisasi Biner sebelum deployment. Langkah verifikasi ini mencegah artefak penampung yang disusupi di-deploy ke produksi, yang dapat mencegah beberapa class kerentanan supply chain.

Ringkasan

Open Source Security Foundation (OpenSSF) adalah organisasi yang menyediakan alat, layanan, dan infrastruktur untuk inisiatif keamanan open source. Kartu Skor adalah alat yang dikelola oleh OpenSSF, yang memindai repositori pengelolaan kode sumber (SCM) untuk menemukan praktik terbaik keamanan supply chain.

Pengesah Kartu Skor adalah alat yang dibuat ke dalam Kartu Skor yang memungkinkan Anda membuat pengesahan Otorisasi Biner berdasarkan kebijakan yang Anda konfigurasi. Scorecard Attestor menjalankan Scorecard terhadap repositori SCM image container, menghasilkan hasil, mengevaluasi hasil terhadap kebijakan, dan menghasilkan pengesahan jika kebijakan terpenuhi.

Dalam tutorial ini, Anda akan membuat repositori contoh, lalu menggunakan Scorecard Attestor. Setiap pipeline contoh berisi langkah-langkah build berikut:

  1. build: Buat image container contoh.
  2. push: Kirim image ke Container Registry.
  3. attest: Periksa dan tandatangani gambar, menggunakan Scorecard Attestor untuk membuat pengesahan berdasarkan kebijakan.

Pada langkah attest di setiap pipeline, Scorecard Attestor melakukan hal berikut:

  1. Mengambil data tentang repositori SCM untuk image container yang baru dibuat.
  2. Menjalankan Kartu Skor pada data mentah dan mengevaluasi repositori SCM terhadap kebijakan yang ditentukan pengguna.
    1. Jika semua kebijakan terpenuhi, Pengesah Kartu Skor akan membuat pengesahan.
    2. Jika salah satu kebijakan tidak terpenuhi, Scorecard Attestor tidak akan membuat pengesahan.

Pada waktu deployment, Otorisasi Biner memeriksa pengesahan yang dapat diverifikasi. Tanpa itu, penegak kebijakan tidak mengizinkan image di-deploy.

Biaya

Tutorial ini menggunakan produk Google Cloud berikut.

  • Container Registry
  • Artifact Analysis
  • Cloud Build
  • Cloud Key Management Service

Gunakan Kalkulator Harga untuk membuat perkiraan biaya berdasarkan penggunaan yang Anda proyeksikan.

Tujuan

Dalam tutorial ini, Anda akan melakukan beberapa hal berikut:

  1. Siapkan Scorecard Attestor sebagai builder kustom Cloud Build.
  2. Melihat dan mengonfigurasi kebijakan Pengesah Kartu Skor.
  3. Jalankan Scorecard Attestor di repositori contoh untuk membuat pengesahan berdasarkan kebijakan.
  4. Jalankan Scorecard Attestor di repositori contoh dalam mode hanya verifikasi tanpa membuat pengesahan. ## Sebelum Anda memulai

Di bagian ini, Anda akan melakukan penyiapan sistem satu kali.

Menyiapkan lingkungan Anda

  1. Simpan project Google Cloud Anda dalam variabel lingkungan.

    export PROJECT_ID=PROJECT_ID
    

    Ganti PROJECT_ID dengan Google Cloud project Anda.

  2. Tetapkan project ID default ke Google Cloud project Anda:

    gcloud config set project $PROJECT_ID
    
  3. Simpan nomor project dalam variabel lingkungan untuk langkah-langkah berikutnya:

    export PROJECT_NUMBER=$(gcloud projects list --filter="${PROJECT_ID}" \
     --format="value(PROJECT_NUMBER)")
    
  4. Aktifkan API:

    Untuk memastikan layanan yang diperlukan untuk panduan ini diaktifkan, jalankan perintah berikut:

    gcloud services enable \
      cloudbuild.googleapis.com \
      containerregistry.googleapis.com \
      containerscanning.googleapis.com \
      cloudkms.googleapis.com
    

Menyiapkan peran IAM

Jalankan perintah berikut untuk mengonfigurasi akun layanan Cloud Build dengan peran berikut:

  • containeranalysis.notes.editor: menambahkan peran Editor Catatan Analisis Artefak untuk mengelola pengesah.
  • containeranalysis.notes.occurrences.viewer: menambahkan peran Artifact Analysis Occurrences for Notes untuk mengelola kejadian kerentanan dan pengesahan.
  • roles/containeranalysis.occurrences.editor: menambahkan peran Artifact Analysis Occurrences Editor untuk membuat kemunculan pengesahan di Artifact Analysis.
  • cloudkms.signer: menambahkan peran Cloud KMS CryptoKey Signer yang memungkinkan akun layanan mengakses layanan penandatanganan Cloud KMS.

    gcloud projects add-iam-policy-binding $PROJECT_ID --member serviceAccount:$PROJECT_NUMBER@cloudbuild. --role roles/containeranalysis.notes.editor
    gcloud projects add-iam-policy-binding $PROJECT_ID --member serviceAccount:$PROJECT_NUMBER@cloudbuild. --role roles/containeranalysis.notes.occurrences.viewer
    gcloud projects add-iam-policy-binding $PROJECT_ID --member serviceAccount:$PROJECT_NUMBER@cloudbuild. --role roles/containeranalysis.occurrences.editor
    gcloud projects add-iam-policy-binding $PROJECT_ID --member serviceAccount:$PROJECT_NUMBER@cloudbuild. --role roles/cloudkms.signer
    

Buat kunci penandatanganan Cloud KMS

Kunci Cloud Key Management Service digunakan untuk membuat pengesahan.

  1. Buat key ring Cloud KMS baru dengan nama scorecard-attestor-key-ring:

    gcloud kms keyrings create scorecard-attestor-key-ring \
        --location global
    
  2. Buat kunci Cloud KMS baru bernama scorecard-attestor-key dalam key ring:

    gcloud kms keys create scorecard-attestor-key \
        --keyring scorecard-attestor-key-ring \
        --location global \
        --purpose "asymmetric-signing" \
        --default-algorithm "rsa-sign-pkcs1-2048-sha256"
    
  3. Simpan algoritma digest dan Cloud KMS dalam variabel lingkungan untuk langkah-langkah selanjutnya:

    export KMS_DIGEST_ALG=SHA256
    export KMS_KEY_NAME=projects/$PROJECT_ID/locations/global/keyRings/scorecard-attestor-key-ring/cryptoKeys/scorecard-attestor-key/cryptoKeyVersions/1
    
  4. Buat attestor Otorisasi Biner. Selanjutnya, Scorecard Attestor membuat catatan yang terkait dengan attestor ini.

    gcloud container binauthz attestors create scorecard-attestor \
        --attestation-authority-note=scorecard-attestation \
        --attestation-authority-note-project=$PROJECT_ID \
        --description="Attest that ossf/scorecard policy checks pass"
    
  5. Mengaitkan pengesah Binary Authorization dengan kunci KMS:

    gcloud container binauthz attestors public-keys add \
        --attestor=scorecard-attestor \
        --keyversion=1 \
        --keyversion-key=scorecard-attestor-key \
        --keyversion-keyring=scorecard-attestor-key-ring \
        --keyversion-location=global \
        --keyversion-project=$PROJECT_ID
    

Untuk mempelajari algoritma penandatanganan lainnya, lihat Membuat kunci asimetris.

Membuat pengesahan dengan Scorecard Attestor di pipeline Cloud Build

Kirimkan build contoh kasus kegagalan

Di bagian ini, Anda akan membangun image container dan memeriksa praktik keamanan supply chain-nya dengan OpenSSF Scorecard. Image berhasil dibuat, tetapi tidak membuat pengesahan. Repositori dasar berisi beberapa praktik keamanan supply chain yang tidak disarankan, seperti dependensi yang tidak disematkan ke Debian 10 di Dockerfile, dan artefak biner yang dikompilasi yang diperiksa ke repositori sumber. Ini adalah pelanggaran kebijakan pengesahan di repositori.

  1. Clone repositori pengujian: scorecard-binauthz-test-bad.

  2. Lihat file kebijakan pengesahan untuk kasus kegagalan.

    cat policy-binauthz.yaml
    
  3. (Opsional) Lihat file konfigurasi build untuk kasus kegagalan.

    cat samples/signer/cloudbuild.yaml
    
  4. Kirim build:

    gcloud builds submit \
        --substitutions=_KMS_KEY_NAME=$KMS_KEY_NAME,_KMS_DIGEST_ALG=$KMS_DIGEST_ALG \
        --config=cloudbuild.yaml
    

Anda akan melihat output seperti berikut:

time="2022-12-20T22:30:14Z" level=info msg="image failed scorecard attestation policy check"
  1. Simpan ID build dari build terakhir:

    export BUILD_ID=$(gcloud builds list --limit=1 --format="value('ID')")
    
  2. Verifikasi hasilnya:

    gcloud storage cat gs://${PROJECT_NUMBER}.cloudbuild-logs.googleusercontent.com/log-${BUILD_ID}.txt | grep "failed scorecard attestation policy check"
    

Kirimkan build contoh kasus keberhasilan

Di bagian ini, Anda akan membangun image container yang memenuhi kebijakan pengesahan Kartu Skornya. Dalam hal ini, Pengesah Kartu Skor akan membuat pengesahan.

Untuk mengirimkan build contoh kasus keberhasilan ke Cloud Build, lakukan hal berikut:

  1. Clone repositori pengujian: scorecard-binauthz-test-good.

  2. Lihat file kebijakan pengesahan untuk kasus kegagalan. sh cat policy-binauthz.yaml

  3. (Opsional) Lihat file konfigurasi build untuk kasus kegagalan.

    cat samples/signer/cloudbuild.yaml
    
  4. Kirim build:

    gcloud builds submit \
        --substitutions=_KMS_KEY_NAME=$KMS_KEY_NAME,_KMS_DIGEST_ALG=$KMS_DIGEST_ALG \
        --config=cloudbuild.yaml
    
  5. Verifikasi hasilnya:

    gcloud storage cat gs://${PROJECT_NUMBER}.cloudbuild-logs.googleusercontent.com/log-${BUILD_ID}.txt | grep "passed scorecard attestation policy check"
    
  6. Mendapatkan URL image container yang di-build dan diperiksa oleh kartu skor

    export IMAGE_URI=$(gcloud storage cat gs://${PROJECT_NUMBER}.cloudbuild-logs.googleusercontent.com/log-${BUILD_ID}.txt | grep -o "Attestation for image .* is successfully uploaded" txt | cut -d' ' -f4 | tr -d '"')
    
  7. Pastikan bahwa pengesahan telah dibuat untuk image container. Pengesah Kartu Skor menggunakan ID Catatan ossf-scorecard-attestation, dan nama catatan projects/${PROJECT_ID}/notes/ossf-scorecard-attestation.

    gcloud container binauthz attestations list \
        --attestor="projects/${PROJECT_ID}/attestors/ossf-scorecard-attestor" \
        --filter="resourceUri='https://${IMAGE_URI}'"
    

Pembersihan

Untuk membersihkan resource yang digunakan dalam dokumen ini, Anda dapat menghapus project:

gcloud projects delete $PROJECT_ID

Langkah berikutnya