Cette page explique comment générer la provenance de la compilation, afficher le résultat et la valider.
La provenance d'une compilation est une collection de données vérifiables concernant une compilation. Les métadonnées de provenance incluent des détails tels que les condensés des images compilées, les emplacements des sources d'entrée, les arguments de la compilation et la durée de la compilation. Vous pouvez utiliser ces informations pour vous assurer que les artefacts de compilation que vous utilisez sont exacts et fiables, et qu'ils ont été créés par des sources et des compilateurs de confiance.
Cloud Build permet de générer une provenance de compilation conforme au niveau d'assurance SLSA (Supply-Chain Levels for Software Artifacts) de niveau 3, en fonction des spécifications de SLSA versions 0.1 et 1.0.
Dans le cadre de la compatibilité avec la spécification SLSA v1.0, Cloud Build fournit des informations sur buildType
dans la provenance de la compilation. Vous pouvez utiliser le schéma buildType
pour comprendre le modèle paramétré utilisé pour le processus de compilation, y compris les valeurs enregistrées par Cloud Build et la source de ces valeurs.
Pour en savoir plus, consultez Cloud Build buildType v1.
Limites
- Cloud Build ne génère la provenance de la compilation que pour les artefacts stockés dans Artifact Registry.
- Pour obtenir la provenance SLSA v1.0 et v0.1, vous devez compiler à l'aide de déclencheurs. Si vous démarrez une compilation manuellement à l'aide de la gcloud CLI, Cloud Build fournit uniquement la provenance SLSA v0.1.
Avant de commencer
-
Activer les API Cloud Build, Container Analysis, and Artifact Registry.
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez le SDK Google Cloud.
Gardez votre code source à portée de main.
disposer d'un dépôt dans Artifact Registry ;
Générer la provenance de la compilation
Les instructions suivantes expliquent comment générer la provenance de la compilation des images de conteneurs que vous stockez dans Artifact Registry:
Dans votre fichier de configuration de compilation, ajoutez le champ
images
pour configurer Cloud Build afin de stocker vos images compilées dans Artifact Registry une fois la compilation terminée.Cloud Build ne peut pas générer de provenance si vous transférez votre image vers Artifact Registry à l'aide d'une étape
docker push
explicite.L'extrait de code suivant montre une configuration de compilation permettant de créer une image de conteneur et de la stocker dans un dépôt Docker dans Artifact Registry:
YAML
steps: - name: 'gcr.io/cloud-builders/docker' args: [ 'build', '-t', 'LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE', '.' ] images: ['LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE']
Où :
LOCATION
: emplacement régional ou multirégional de votre dépôt.PROJECT_ID
: ID de votre projet Google Cloud.REPOSITORY
: nom de votre dépôt Artifact RegistryIMAGE
: nom de votre image de conteneur.
JSON
{ "steps": [ { "name": "gcr.io/cloud-builders/docker", "args": [ "build", "-t", "LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE", "." ] } ], "images": [ "LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE" ] }
Où :
LOCATION
: emplacement régional ou multirégional de votre dépôt.PROJECT_ID
: ID de votre projet Google Cloud.REPOSITORY
: nom de votre dépôt Artifact RegistryIMAGE
: nom de votre image de conteneur.
Dans la section
options
de votre configuration de compilation, ajoutez l'optionrequestedVerifyOption
et définissez-la sur la valeurVERIFIED
.Ce paramètre active la génération de la provenance et configure Cloud Build pour vérifier la présence de métadonnées de provenance. Les compilations ne seront marquées comme réussies que si la provenance est générée.
YAML
options: requestedVerifyOption: VERIFIED
JSON
{ "options": { "requestedVerifyOption": "VERIFIED" } }
Démarrez votre build.
Afficher la provenance de la compilation
Cette section explique comment afficher les métadonnées de provenance de la compilation créées par Cloud Build. Vous pouvez récupérer ces informations à des fins d'audit.
Vous pouvez accéder aux métadonnées de provenance de compilation des conteneurs à l'aide du panneau latéral Informations sur la sécurité de la console Google Cloud ou à l'aide de la gcloud CLI.
Console
Le panneau latéral Insights sur la sécurité offre une vue d'ensemble des informations sur la sécurité pour les artefacts stockés dans Artifact Registry.
Pour afficher le panneau Informations sur la sécurité:
Ouvrez la page Historique de compilation dans la console Google Cloud:
Sélectionnez votre projet et cliquez sur Ouvrir.
Dans le menu déroulant Région, sélectionnez la région dans laquelle vous avez exécuté votre compilation.
Dans le tableau contenant les builds, localisez la ligne contenant le build pour lequel vous souhaitez afficher des insights sur la sécurité.
Dans la colonne Insights sur la sécurité, cliquez sur Afficher.
Le panneau Insights sur la sécurité s'affiche pour l'artefact sélectionné.
La fiche Build (Compilation) affiche les détails de provenance et un lien. Vous pouvez afficher l'extrait de provenance en cliquant sur l'icône de lien.
Pour en savoir plus sur le panneau latéral et sur la manière dont Cloud Build peut vous aider à protéger votre chaîne d'approvisionnement logicielle, consultez Afficher les insights sur la sécurité des compilations.
gcloud CLI
Pour afficher les métadonnées de provenance des images de conteneurs, exécutez la commande suivante:
gcloud artifacts docker images describe \
LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH \
--show-provenance --format=FORMAT
Remplacez les éléments suivants :
LOCATION
: emplacement régional ou multirégional de votre dépôt.PROJECT_ID
: ID de votre projet Google Cloud.REPOSITORY
: nom de votre dépôt Artifact Registry.IMAGE
: nom de votre image de conteneur.HASH
: valeur de hachage sha256 de l'image. Vous le trouverez dans le résultat de votre compilation.FORMAT
: paramètre facultatif dans lequel vous pouvez spécifier un format de sortie.
Exemple de résultat :
La provenance de la compilation se présente comme suit:
image_summary: digest: sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3 fully_qualified_digest: us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3 registry: us-central1-docker.pkg.dev repository: my-repo slsa_build_level: 0 provenance_summary: provenance: - build: inTotoSlsaProvenanceV1: _type: https://in-toto.io/Statement/v1 predicate: buildDefinition: buildType: https://cloud.google.com/build/gcb-buildtypes/google-worker/v1 externalParameters: buildConfigSource: path: cloudbuild.yaml ref: refs/heads/main repository: git+https://github.com/my-username/my-git-repo substitutions: {} internalParameters: systemSubstitutions: BRANCH_NAME: main BUILD_ID: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79 COMMIT_SHA: 525c52c501739e6df0609ed1f944c1bfd83224e7 LOCATION: us-west1 PROJECT_NUMBER: '265426041527' REF_NAME: main REPO_FULL_NAME: my-username/my-git-repo REPO_NAME: my-git-repo REVISION_ID: 525c52c501739e6df0609ed1f944c1bfd83224e7 SHORT_SHA: 525c52c TRIGGER_BUILD_CONFIG_PATH: cloudbuild.yaml TRIGGER_NAME: github-trigger-staging triggerUri: projects/265426041527/locations/us-west1/triggers/a0d239a4-635e-4bd3-982b-d8b72d0b4bab resolvedDependencies: - digest: gitCommit: 525c52c501739e6df0609ed1f944c1bfd83224e7 uri: git+https://github.com/my-username/my-git-repo@refs/heads/main - digest: sha256: 154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d uri: gcr.io/cloud-builders/docker@sha256:154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d runDetails: builder: id: https://cloudbuild.googleapis.com/GoogleHostedWorker byproducts: - {} metadata: finishedOn: '2023-08-01T19:57:10.734471Z' invocationId: https://cloudbuild.googleapis.com/v1/projects/my-project/locations/us-west1/builds/e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79 startedOn: '2023-08-01T19:56:57.451553160Z' predicateType: https://slsa.dev/provenance/v1 subject: - digest: sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3 name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image - digest: sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3 name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image:latest createTime: '2023-08-01T19:57:14.810489Z' envelope: payload: eyJfdHlwZSI6Imh0dHBzOi8vaW4tdG90by5pby9TdGF0ZW1lbnQvdMWQ0LWVjNGEtNGVhNi1hY2RkLWFjOGJiMTZkY2M3OSIsICJzdGFydGVkT24iOiIyMDIzLTA4LTAxVDE5OjU2OjU3LjQ1MTU1MzE2MFoiLCAiZmluaXNoZWRPbiI6IjIwMjMtMDgtMDFUMTk6NTc6MTAuNzM0NDcxWiJ9LCAiYnlwcm9kdWN0cyI6W3t9XX19fQ==... payloadType: application/vnd.in-toto+json signatures: - keyid: projects/verified-builder/locations/global/keyRings/attestor/cryptoKeys/google-hosted-worker/cryptoKeyVersions/1 sig: MEUCIQCss8UlQL2feFePRJuKTE8VA73f85iqj4OJ9SvVPqTNwAIgYyuyuIrl1PxQC5B109thO24Y6NA4bTa0PJY34EHRSVE= kind: BUILD name: projects/my-project/occurrences/71787589-c6a6-4d6a-a030-9fd041e40468 noteName: projects/argo-qa/notes/intoto_slsa_v1_e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79 resourceUri: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3 updateTime: '2023-08-01T19:57:14.810489Z'
Voici quelques points importants à noter dans cet exemple:
Source: la compilation a été déclenchée à partir d'un dépôt GitHub.
Référence d'objet: les champs nommés
digest
etfileHash
font référence au même objet. Le champdigest
inclus dans l'exemple de résultat est codé en base 16 (en hexadécimal). Si vous utilisez la provenance SLSA de la version 0.1, votre sortie utilise le champfileHash
encodé en base64.Signatures: si vous utilisez la provenance SLSA version 0.1, votre sortie contient deux signatures sur le champ
envelope
. La première signature, dont le nom de clé estprovenanceSigner
, utilise une signature conforme à la DSSE (formatée avec Pre-Authentication Encoding (PAE)), qui peut être vérifiée dans les stratégies d'autorisation binaire. Nous vous recommandons d'utiliser cette signature dans les nouvelles utilisations de cette provenance. La deuxième signature, portant le nom de clébuiltByGCB
, est fournie pour une utilisation ancienne.Comptes de service: les signatures incluses automatiquement dans la provenance de Cloud Build vous aident à vérifier le service de compilation qui a exécuté une compilation. Vous pouvez également configurer Cloud Build pour enregistrer des métadonnées vérifiables sur le compte de service utilisé pour lancer une compilation. Pour en savoir plus, consultez Signer des images de conteneurs avec la signature.
Charge utile: l'exemple de provenance affiché sur cette page est raccourci pour une meilleure lisibilité. La sortie réelle sera plus longue, car la charge utile est une version encodée en base64 de toutes les métadonnées de provenance.
Afficher la provenance d'artefacts non issus de conteneurs
Cloud Build génère des métadonnées de provenance SLSA pour les applications autonomes Java (Maven), Python et Node.js (npm) lorsque vous importez vos artefacts de compilation dans Artifact Registry.
Pour générer les métadonnées de provenance de vos artefacts, exécutez une compilation avec Cloud Build. Utilisez l'un des guides suivants:
- Créer des applications Java autonomes
- Créer des applications Python autonomes
- Créer des applications Node.js autonomes
Une fois la compilation terminée, notez
BuildID
.Exécutez l'appel d'API suivant dans votre terminal, où PROJECT_ID correspond à l'ID associé à votre projet Google Cloud:
alias gcurl='curl -H"Authorization: Bearer $(gcloud auth print-access-token)"' gcurl 'https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences'
Dans les occurrences de votre projet, effectuez une recherche par
BuildID
pour trouver les informations de provenance associées à chaque artefact de compilation.
Valider la provenance
Cette section explique comment valider la provenance de la compilation des images de conteneurs.
La validation de la provenance de la compilation vous aide à:
- confirmer que les artefacts de compilation sont générés à partir de sources et de compilateurs fiables
- vous assurer que les métadonnées de provenance décrivant votre processus de compilation sont complètes et authentiques.
Pour en savoir plus, consultez Protéger les builds.
Valider la provenance à l'aide de l'outil de vérification SLSA
L'outil de vérification SLSA est un outil CLI Open Source permettant de valider l'intégrité de la compilation en fonction des spécifications SLSA.
Si l'outil de vérification détecte des problèmes, il renvoie des messages d'erreur détaillés pour vous aider à mettre à jour votre processus de compilation et à limiter les risques.
Pour utiliser l'outil de vérification SLSA:
Installez la version 2.1 ou une version ultérieure à partir du dépôt slsa-verifier:
go install github.com/slsa-framework/slsa-verifier/v2/cli/slsa-verifier@VERSION
Dans la CLI, définissez une variable pour l'identifiant de votre image:
export IMAGE=LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH
Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
LOCATION
: emplacement régional ou multirégional.PROJECT_ID
: ID de projet Google Cloud.REPOSITORY
: nom du dépôt.IMAGE
: nom de l'image.HASH
: valeur de hachage sha256 de l'image. Vous le trouverez dans le résultat de votre compilation.
Autorisez la gcloud CLI pour que le vérificateur SLSA puisse accéder à vos données de provenance:
gcloud auth configure-docker LOCATION-docker.pkg.dev
Récupérez la provenance de votre image et stockez-la sous le nom
JSON
:gcloud artifacts docker images describe $IMAGE --format json --show-provenance > provenance.json
Vérifiez la provenance:
slsa-verifier verify-image "$IMAGE" \ --provenance-path provenance.json \ --source-uri SOURCE \ --builder-id=BUILDER_ID
Où :
SOURCE
est l'URI du dépôt source pour votre image, par exemplegithub.com/my-repo/my-application
.BUILDER_ID
: ID unique du compilateur, par exemplehttps://cloudbuild.googleapis.com/GoogleHostedWorker
Si vous souhaitez imprimer la provenance validée pour une utilisation dans un moteur de règles, exécutez la commande précédente avec l'option
--print-provenance
.Le résultat ressemble à ce qui suit:
PASSED: Verified SLSA provenance
ouFAILED: SLSA verification failed: <error details>
.
Pour en savoir plus sur les options facultatives, consultez la section Options.
Valider les métadonnées de provenance avec la gcloud CLI
Si vous souhaitez vérifier que les métadonnées de provenance de la compilation n'ont pas été altérées, vous pouvez valider la provenance en procédant comme suit:
Créez un répertoire, puis accédez-y.
mkdir provenance && cd provenance
À l'aide des informations du champ
keyid
, obtenez la clé publique.gcloud kms keys versions get-public-key 1 --location global --keyring attestor \ --key builtByGCB --project verified-builder --output-file my-key.pub
payload
contient la représentation JSON de la provenance, encodée en base64url. Décodez les données et les stockez-les dans un fichier.gcloud artifacts docker images describe \ LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \ --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json
Les types de provenance SLSA versions 0.1 et 1.0 sont stockés lorsqu'ils sont disponibles. Si vous souhaitez filtrer les résultats pour la version 1.0, remplacez
predicateType
parhttps://slsa.dev/provenance/v1
. Exemple :gcloud artifacts docker images describe \ LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \ --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json
L'enveloppe contient également la signature sur la provenance. Décodez les données et stockez-les dans un fichier.
gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \ --format=json | '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin
Si vous souhaitez filtrer sur la version 1.0, modifiez
predicateType
pour qu'il utilisehttps://slsa.dev/provenance/v1
. Exemple :gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \ --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin
La commande ci-dessus fait référence à la première signature de provenance (
.provenance_summary.provenance[0].envelope.signatures[0]
) qui est signée par la cléprovenanceSigner
. La charge utile est signée sur l'enveloppe au format PAE. Afin de le vérifier, exécutez cette commande pour transformer la provenance au format PAE attendu de"DSSEv1" + SP + LEN(type) + SP + type + SP + LEN(body) + SP + body
.echo -n "DSSEv1 28 application/vnd.in-toto+json $(cat provenance.json | wc -c) $(cat provenance.json)" > provenance.json
Validez la signature.
openssl dgst -sha256 -verify my-key.pub -signature signature.bin provenance.json
Après une validation réussie, le résultat est
Verified OK
.
Étapes suivantes
- Configurer Cloud Build pour suivre qui lance une compilation
- Utiliser l'analyse des failles dans votre pipeline Cloud Build
- En savoir plus sur Software Delivery Shield