빌드 출처 보기

이 페이지에서는 Cloud Build에서 생성된 빌드 출처 메타데이터를 살펴보고 감사하는 방법을 설명합니다.

빌드 출처는 Cloud Build에서 실행되는 빌드에 대해 검증 가능한 데이터 모음입니다. 출처 메타데이터에는 빌드된 이미지의 다이제스트, 입력 소스 위치, 빌드 인수, 빌드 기간과 같은 세부정보가 포함됩니다.

Cloud Build는 SLSA 버전 0.1 사양을 기반으로 소프트웨어 아티팩트에 대한 공급망 등급(SLSA) 레벨 3 보장을 충족하는 빌드 출처 생성을 지원하고, 이제 SLSA 버전 1.0에 대한 지원을 미리보기로 이용할 수 있습니다.

SLSA v1.0 사양에 대한 지원으로 Cloud Build는 buildType 세부정보를 제공합니다. buildType 스키마를 사용하여 빌드 프로세스에 사용되는 매개변수화된 템플릿을 이해할 수 있습니다. 자세한 내용은 Cloud Build buildType v1을 참조하세요.

시작하기 전에

  1. Enable the Cloud Build, Artifact Analysis, and Artifact Registry APIs.

    Enable the APIs

  2. 이 가이드에서 명령줄 예시를 사용하려면 Google Cloud SDK를 설치하고 구성하세요.

이 기능은 Artifact Registry에 저장된 컨테이너 이미지에서만 작동합니다.

빌드 출처 보기

이 섹션에서는 Cloud Build에서 만든 빌드 출처 메타데이터를 보는 방법을 설명합니다.

Cloud Build로 이미지를 빌드할 때 이미지의 빌드 출처는 자동으로 기록됩니다. 나중에 감사 목적으로 이 정보를 가져올 수 있습니다.

Google Cloud 콘솔에서 출처 보기

Google Cloud 콘솔의 보안 통계 측면 패널에서 빌드 출처를 확인할 수 있습니다.

보안 통계 측면 패널은 Artifact Registry에 저장된 아티팩트에 대한 대략적인 보안 정보를 제공합니다. 측면 패널과 Cloud Build를 사용하여 소프트웨어 공급망을 보호하는 방법에 대한 자세한 내용은 빌드 보안 통계 보기를 참조하세요.

Google Cloud CLI를 사용하여 출처 보기

  1. 출처 메타데이터를 생성하려면 Cloud Build로 빌드를 실행하세요.

    docker push 빌드 단계 대신 images 필드를 사용하여 빌드된 이미지를 푸시합니다. Cloud Build는 images 필드를 통해 푸시된 이미지에 대해서만 증명을 생성합니다.

  2. 생성된 출처 메타데이터를 보려면 다음 명령어를 실행합니다.

    gcloud artifacts docker images describe \
    LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH \
    --show-provenance
    

    명령어의 자리 표시자 값을 다음으로 바꿉니다.

    • LOCATION: 리전 또는 멀티 리전 위치
    • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
    • REPOSITORY: 저장소 이름입니다.
    • IMAGE: 이미지 이름입니다.
    • HASH: 이미지의 sha256 해시 값입니다. 빌드 출력에서 확인할 수 있습니다.

    출력은 SLSA 출처 사양에 설명된 컨테이너 컨테이너입니다. 예를 들면 다음과 같습니다.

      image_summary:
      digest: sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
      fully_qualified_digest: us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
      registry: us-central1-docker.pkg.dev
      repository: my-repo
      slsa_build_level: 0
    provenance_summary:
      provenance:
      - build:
          inTotoSlsaProvenanceV1:
            _type: https://in-toto.io/Statement/v1
            predicate:
              buildDefinition:
                buildType: https://cloud.google.com/build/gcb-buildtypes/google-worker/v1
                externalParameters:
                  buildConfigSource:
                    path: cloudbuild.yaml
                    ref: refs/heads/main
                    repository: git+https://github.com/my-username/my-git-repo
                  substitutions: {}
                internalParameters:
                  systemSubstitutions:
                    BRANCH_NAME: main
                    BUILD_ID: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                    COMMIT_SHA: 525c52c501739e6df0609ed1f944c1bfd83224e7
                    LOCATION: us-west1
                    PROJECT_NUMBER: '265426041527'
                    REF_NAME: main
                    REPO_FULL_NAME: my-username/my-git-repo
                    REPO_NAME: my-git-repo
                    REVISION_ID: 525c52c501739e6df0609ed1f944c1bfd83224e7
                    SHORT_SHA: 525c52c
                    TRIGGER_BUILD_CONFIG_PATH: cloudbuild.yaml
                    TRIGGER_NAME: github-trigger-staging
                  triggerUri: projects/265426041527/locations/us-west1/triggers/a0d239a4-635e-4bd3-982b-d8b72d0b4bab
                resolvedDependencies:
                - digest:
                    gitCommit: 525c52c501739e6df0609ed1f944c1bfd83224e7
                  uri: git+https://github.com/my-username/my-git-repo@refs/heads/main
                - digest:
                    sha256: 154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d
                  uri: gcr.io/cloud-builders/docker@sha256:154fcd4d2d65c6a35b06b98053a0829c581e223d530be5719326f5d85d680e8d
              runDetails:
                builder:
                  id: https://cloudbuild.googleapis.com/GoogleHostedWorker
                byproducts:
                - {}
                metadata:
                  finishedOn: '2023-08-01T19:57:10.734471Z'
                  invocationId: https://cloudbuild.googleapis.com/v1/projects/my-project/locations/us-west1/builds/e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                  startedOn: '2023-08-01T19:56:57.451553160Z'
            predicateType: https://slsa.dev/provenance/v1
            subject:
            - digest:
                sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
              name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image
            - digest:
                sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
              name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image:latest
        createTime: '2023-08-01T19:57:14.810489Z'
        envelope:
          payload: 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
          payloadType: application/vnd.in-toto+json
          signatures:
          - keyid: projects/verified-builder/locations/global/keyRings/attestor/cryptoKeys/google-hosted-worker/cryptoKeyVersions/1
            sig: MEUCIQCss8UlQL2feFePRJuKTE8VA73f85iqj4OJ9SvVPqTNwAIgYyuyuIrl1PxQC5B109thO24Y6NA4bTa0PJY34EHRSVE=
        kind: BUILD
        name: projects/my-project/occurrences/71787589-c6a6-4d6a-a030-9fd041e40468
        noteName: projects/argo-qa/notes/intoto_slsa_v1_e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
        resourceUri: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
        updateTime: '2023-08-01T19:57:14.810489Z'
      - build:
          intotoStatement:
            _type: https://in-toto.io/Statement/v0.1
            predicateType: https://slsa.dev/provenance/v0.1
            slsaProvenance:
              builder:
                id: https://cloudbuild.googleapis.com/GoogleHostedWorker@v0.3
              materials:
              - digest:
                  sha1: 525c52c501739e6df0609ed1f944c1bfd83224e7
                uri: git+https://github.com/my-username/my-git-repo
              metadata:
                buildFinishedOn: '2023-08-01T19:57:10.734471Z'
                buildInvocationId: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                buildStartedOn: '2023-08-01T19:56:57.451553160Z'
              recipe:
                arguments:
                  '@type': type.googleapis.com/google.devtools.cloudbuild.v1.Build
                  id: e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                  name: projects/265426041527/locations/us-west1/builds/e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
                  options:
                    dynamicSubstitutions: true
                    logging: LEGACY
                    pool: {}
                    requestedVerifyOption: VERIFIED
                    substitutionOption: ALLOW_LOOSE
                  sourceProvenance: {}
                  steps:
                  - args:
                    - tag
                    - hello-world
                    - us-central1-docker.pkg.dev/my-project/my-repo/my-image
                    name: gcr.io/cloud-builders/docker
                    pullTiming:
                      endTime: '2023-08-01T19:57:07.231646287Z'
                      startTime: '2023-08-01T19:57:07.225609188Z'
                    status: SUCCESS
                    timing:
                      endTime: '2023-08-01T19:57:08.343864907Z'
                      startTime: '2023-08-01T19:57:07.225609188Z'
                  substitutions:
                    BRANCH_NAME: main
                    COMMIT_SHA: 525c52c501739e6df0609ed1f944c1bfd83224e7
                    REF_NAME: main
                    REPO_FULL_NAME: my-username/my-git-repo
                    REPO_NAME: my-git-repo
                    REVISION_ID: 525c52c501739e6df0609ed1f944c1bfd83224e7
                    SHORT_SHA: 525c52c
                    TRIGGER_BUILD_CONFIG_PATH: cloudbuild.yaml
                    TRIGGER_NAME: github-trigger-staging
                entryPoint: cloudbuild.yaml
                type: https://cloudbuild.googleapis.com/CloudBuildYaml@v0.1
            subject:
            - digest:
                sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
              name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image
            - digest:
                sha256: 7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
              name: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image:latest
        createTime: '2023-08-01T19:57:13.168653Z'
        envelope:
          payload: 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
          payloadType: application/vnd.in-toto+json
          signatures:
          - keyid: projects/verified-builder/locations/global/keyRings/attestor/cryptoKeys/provenanceSigner/cryptoKeyVersions/1
            sig: MEUCIQDsD7nX7YgnKrhgiNZXWuvSf_1AG8DgGDUAlZnjT_SB1AIgTBHZPCjTTPk3lQPAccL6WNg457QHufk9T9YB1FW5xbQ=
          - keyid: projects/argo-qa/locations/us-west1/keyRings/attestor/cryptoKeys/builtByGCB/cryptoKeyVersions/1
            sig: MEUCIQDnQmgbIcCkbDZy91HicY-IkcuV5bV_Zo0D1Y_rmsAMyQIga17tv0c_KAW3Uhv8mM2SZwY8D3YuP6TUy7QXDs2cmpA=
        kind: BUILD
        name: projects/my-project/occurrences/8b5dcf9d-4076-4b85-a934-adfb91042088
        noteName: projects/argo-qa/notes/intoto_e73ca1d4-ec4a-4ea6-acdd-ac8bb16dcc79
        resourceUri: https://us-central1-docker.pkg.dev/my-project/my-repo/my-image@sha256:7e9b6e7ba2842c91cf49f3e214d04a7a496f8214356f41d81a6e6dcad11f11e3
        updateTime: '2023-08-01T19:57:13.168653Z'
    

    이 예시에서 알아야 할 중요한 사항은 다음과 같습니다.

    • GitHub 저장소에서 빌드가 트리거되었습니다. materials 필드에서 해당 커밋을 확인할 수 있습니다.

    • digestfileHash 필드는 동일한 객체를 참조합니다. digest 필드는 Base16(16진수로 인코딩)로 인코딩되고 fileHash 필드는 Base64로 인코딩됩니다.

    • envelope 필드에는 두 개의 서명이 있습니다. 키 이름이 provenanceSigner인 첫 번째 서명에서는 DSSE 적합 서명(사전 인증 인코딩(PAE)으로 형식 지정)을 사용하며 Binary Authorization 정책에서 이를 확인할 수 있습니다. 이 출처의 새로운 사용에 이 서명을 사용하는 것이 좋습니다. 키 이름이 builtByGCB인 두 번째 서명은 기존 사용에 제공됩니다.

    • Cloud Build 출처에 자동으로 포함된 서명은 빌드를 실행한 빌드 서비스를 확인하는 데 도움이 됩니다. 또한 빌드를 시작하는 데 사용되는 서비스 계정에 대한 검증 가능한 메타데이터를 기록하도록 Cloud Build를 구성할 수 있습니다. 자세한 내용은 cosign으로 컨테이너 이미지 서명을 참조하세요.

리전 풀의 빌드 출처 보기

Cloud Build는 비공개 풀 또는 리전이 할당된 기본 풀을 사용하는지 여부에 따라 리전 풀의 빌드에 대해 출처 메타데이터를 생성하지 않습니다. 빌드 파일에 옵션을 추가하여 리전 빌드에 대해 출처 메타데이터를 사용 설정할 수 있습니다. 리전에 대한 자세한 내용은 Cloud Build 위치를 참조하세요.

비컨테이너 아티팩트의 출처 보기

Cloud Build는 빌드 아티팩트를 Artifact Registry에 업로드할 때 독립형 자바(Maven), Python, Node.js(npm) 애플리케이션의 소프트웨어 아티팩트에 대한 공급망 등급(SLSA) 출처 메타데이터를 생성합니다.

  1. 아티팩트의 출처 메타데이터를 생성하려면 Cloud Build로 빌드를 실행합니다.

    빌드가 완료되면 BuildID를 기록합니다.

  2. 터미널에서 다음 API 호출을 실행합니다. 여기서 PROJECT_ID는 Google Cloud 프로젝트와 연관된 ID입니다.

    alias gcurl='curl -H"Authorization: Bearer $(gcloud auth print-access-token)"'
        gcurl 'https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/occurrences'
    

    프로젝트와 일치하는 항목에서 BuildID로 검색하여 각 빌드 아티팩트와 연관된 출처 정보를 찾습니다.

출처 검증

이 섹션에서는 빌드 출처를 검증하는 방법을 설명합니다.

빌드 출처를 검증하면 다음과 같은 이점이 있습니다.

  • 신뢰할 수 있는 소스 및 빌더에서 빌드 아티팩트가 생성되는지 확인
  • 빌드 프로세스를 설명하는 출처 메타데이터가 완전하고 신뢰할 수 있는지 확인

자세한 내용은 빌드 보호를 참조하세요.

SLSA 인증자를 사용한 출처 검증

SLSA 인증자SLSA 사양을 기준으로 빌드 무결성을 검증하는 오픈소스 CLI 도구입니다.

확인자는 문제를 발견하면 빌드 프로세스를 업데이트하고 위험을 완화하는 데 도움이 되는 자세한 오류 메시지를 반환합니다.

SLSA 인증자를 사용하려면 다음 안내를 따르세요.

  1. slsa-verifier 저장소에서 버전 2.1 이상을 설치합니다.

    go install github.com/slsa-framework/slsa-verifier/v2/cli/slsa-verifier@VERSION
    
  2. CLI에서 이미지 식별자의 변수를 설정합니다.

    export IMAGE=LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH
    

    명령어의 자리 표시자 값을 다음으로 바꿉니다.

    • LOCATION: 리전 또는 멀티 리전 위치
    • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
    • REPOSITORY: 저장소 이름입니다.
    • IMAGE: 이미지 이름입니다.
    • HASH: 이미지의 sha256 해시 값입니다. 빌드 출력에서 확인할 수 있습니다.
  3. SLSA 인증자가 출처 데이터에 액세스할 수 있도록 gcloud CLI를 승인합니다.

    gcloud auth configure-docker LOCATION-docker.pkg.dev
    
  4. 이미지의 출처를 검색하고 JSON으로 저장합니다.

    gcloud artifacts docker images describe $IMAGE --format json --show-provenance > provenance.json
    
  5. 출처를 확인합니다.

    slsa-verifier verify-image "$IMAGE" \
    --provenance-path provenance.json \
    --source-uri SOURCE \
    --builder-id=BUILDER_ID
    

    각 항목의 의미는 다음과 같습니다.

    • SOURCE는 이미지의 소스 저장소 URI입니다(예: github.com/username/my-application).

      Git 트리거로 생성되지 않은 빌드를 확인하는 경우 소스가 다르게 표시됩니다. 예를 들어 로컬에서 소스 코드를 작업할 때 gcloud builds submit은 소스를 Cloud Storage에 업로드합니다. Cloud Storage 소스 정보는 gs://myrepo/source/1665165300.279777-955d1904741e4bbeb3461080299e929a.tgz#1665165361152799과 같습니다.

    • BUILDER_ID는 빌더의 고유 ID입니다(예: https://cloudbuild.googleapis.com/GoogleHostedWorker).

    정책 엔진에 사용할 수 있도록 검증된 출처를 출력하려면 --print-provenance 플래그와 함께 이전 명령어를 사용합니다.

    출력은 PASSED: Verified SLSA provenance 또는 FAILED: SLSA verification failed: <error details>와 비슷합니다.

선택적 플래그에 대한 자세한 내용은 옵션을 참조하세요.

gcloud CLI로 출처 메타데이터 검증

빌드 출처가 조작되지 않았는지 확인하려면 다음 단계를 수행하여 출처 유효성을 검사할 수 있습니다.

  1. 새 디렉터리를 만든 후 해당 디렉터리로 이동합니다.

    mkdir provenance && cd provenance
    
  2. keyid 필드의 정보를 사용하여 공개 키를 가져옵니다.

    gcloud kms keys versions get-public-key 1 --location global --keyring attestor \
    --key builtByGCB --project verified-builder --output-file my-key.pub
    
  3. payload에는 base64url로 인코딩된 출처의 JSON 표현이 포함됩니다. 데이터를 디코딩하여 파일에 저장합니다.

    gcloud artifacts docker images describe \
    LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
    --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json
    

    사용 가능한 경우 SLSA 버전 0.1 및 1.0 출처 유형이 모두 저장됩니다. 버전 1.0으로 필터링하려면 predicateType을 변경하여 https://slsa.dev/provenance/v1을 사용합니다. 예를 들면 다음과 같습니다.

    gcloud artifacts docker images describe \
    LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
    --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.payload' | tr '\-_' '+/' | base64 -d > provenance.json
    
  4. 봉투에는 출처에 대한 서명도 포함됩니다. 데이터를 디코딩하여 파일에 저장합니다.

    gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
    --format=json | '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v0.1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin
    

    버전 1.0으로 필터링하려면 predicateType을 변경하여 https://slsa.dev/provenance/v1을 사용합니다. 예를 들면 다음과 같습니다.

    gcloud artifacts docker images describe LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE@sha256:HASH --show-provenance \
    --format=json | jq -r '.provenance_summary.provenance[] | select(.build.intotoStatement.predicateType == "https://slsa.dev/provenance/v1") | .envelope.signatures[0].sig' | tr '\-_' '+/' | base64 -d > signature.bin
    
  5. 위 명령어는 provenanceSigner 키로 서명된 첫 번째 출처 서명(.provenance_summary.provenance[0].envelope.signatures[0])을 참조합니다. 페이로드는 PAE 형식의 봉투를 통해 서명됩니다. 이를 확인하려면 다음 명령어를 실행하여 출처를 "DSSEv1" + SP + LEN(type) + SP + type + SP + LEN(body) + SP + body의 예상 PAE 형식으로 변환합니다.

    echo -n "DSSEv1 28 application/vnd.in-toto+json $(cat provenance.json | wc -c) $(cat provenance.json)" > provenance.json
    
  6. 서명 유효성을 검사합니다.

    openssl dgst -sha256 -verify my-key.pub -signature signature.bin provenance.json
    

    유효성 검사에 성공하면 출력은 Verified OK입니다.

이미지에 출처 메타데이터를 연결하도록 요구

기본적으로 Cloud Build가 출처 메타데이터를 생성하지 않더라도 빌드는 성공적으로 완료됩니다. Cloud Build가 이미지의 출처 메타데이터를 생성하지 않는 경우 이 동작을 덮어쓰고 빌드에 실패하려면 빌드 구성 파일requestedVerifyOption: VERIFIED 옵션을 추가합니다.

steps:
- name: 'gcr.io/cloud-builders/docker'
  args: [ 'build', '-t', 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1', '.' ]
images:
- 'us-central1-docker.pkg.dev/$PROJECT_ID/quickstart-docker-repo/quickstart-image:tag1'
options:
  requestedVerifyOption: VERIFIED

requestedVerifyOption을 추가하면 Cloud Build는 해당 출처 메타데이터를 생성할 수 있는 경우에만 빌드를 성공한 것으로 표시합니다. 이는 리전 풀에 빌드된 이미지에도 영향을 미쳐 해당 이미지의 출처 메타데이터와 증명 생성을 사용 설정합니다.

다음 단계