Mengakses metadata keamanan dan memverifikasi paket

Halaman ini menjelaskan cara mengakses metadata keamanan dari bucket Cloud Storage assuredoss-metadata. Untuk deskripsi metadata keamanan, lihat Kolom metadata keamanan.

Halaman ini hanya berlaku untuk tingkat premium Assured OSS. Untuk paket gratis, lihat Memverifikasi tanda tangan di paket gratis Assured OSS.

Sebelum memulai

Siapkan autentikasi.

Mengekstrak metadata

Anda dapat menggunakan perintah gcloud atau curl untuk mendownload metadata. Buat URL untuk keduanya menggunakan informasi berikut:

• Bahasa: java, python, atau javascript. Nilai harus dalam huruf kecil.
• Package_ID: untuk Java, adalah groupId:artifactId, untuk Python adalah packageName, dan untuk JavaScript, adalah salah satu dari @org-name/package-name, @username/package-name, atau package-name. Nilai harus dalam huruf kecil.
• Versi: versi paket.

URL harus memiliki format berikut:

1. Download metadata:

gcloud storage cp "gs://assuredoss-metadata/language/package_id/version/metadata.json" outputFolderLocation

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -L https://storage.googleapis.com/assuredoss-metadata/language/package_id/version/metadata.json -o metadata.json

Sekarang Anda dapat memverifikasi tanda tangan. Ada dua opsi:

• Memverifikasi tanda tangan menggunakan alat aoss-verifier
• Memverifikasi tanda tangan paket yang didownload secara manual

Memverifikasi tanda tangan paket yang didownload menggunakan alat aoss-verifier

Gunakan alat aoss-verifier untuk memverifikasi metadata paket.

Sebelum menggunakan alat ini, instal Go.

1. Instal alat aoss-verifier.

2. Ekspor $(go env GOPATH)/bin.

3. Jalankan perintah aoss-verifier verify-metadata.

   aoss-verifier verify-metadata \
      --metadata_type TYPE \
      --language LANGUAGE \
      --package_id PACKAGE_ID \
      --version VERSION \
      [--disable_certificate_verification] \
      [--temp_downloads_path TEMP_DOWNLOADS_DIR_PATH] \
      [--disable_deletes]
   

   Ganti kode berikut:

   • TYPE: Nilai yang mungkin adalah premiuminfo.
   • LANGUAGE: Bahasa paket. Nilai harus dalam huruf kecil.
   • PACKAGE_ID: Untuk Java, formatnya adalah groupId:artifactId. Untuk Python, formatnya adalah packageName. Nilai harus dalam huruf kecil.
   • VERSION: Versi paket.

   --disable_certificate_verification adalah flag opsional yang melewati pencocokan sertifikat entitas akhir dengan root certificate melalui rantai sertifikat, jika digunakan.

   --temp_downloads_path adalah tanda opsional untuk menetapkan jalur tempat Anda ingin mendownload file (ganti TEMP_DOWNLOADS_DIR_PATH). Jika tanda tidak ditetapkan, file akan didownload ke folder tmp_downloads di direktori saat ini.

   --disable_deletes adalah flag opsional yang menyimpan file yang didownload. Secara default, alat ini akan menghapus semua file yang didownload.

Untuk informasi selengkapnya, lihat README.

Memverifikasi tanda tangan paket yang didownload secara manual

Anda hanya dapat memverifikasi tanda tangan artefak untuk biner yang di-build dengan aman oleh Assured OSS, bukan yang disediakan oleh Assured OSS melalui proxy.

Untuk memverifikasi tanda tangan secara manual, Anda dapat menggunakan berbagai alat. Langkah-langkah berikut menggunakan gcloud CLI, OpenSSL (versi 3.0.1 atau yang lebih tinggi), dan jq (1.7.1 atau yang lebih tinggi) untuk memverifikasi tanda tangan di Linux.

1. Download file metadata. Seperti yang dijelaskan dalam Kolom metadata keamanan, file metadata berisi kolom SBOM di dalam kolom buildInfo. SBOM berisi artefak (misalnya, file JAR atau EGG) yang di-build bersama dengan anotasi yang mewakili tanda tangan. Artefak ini memungkinkan Anda menentukan ID SPDX.

   Misalnya, jika nama artefak adalah artifact_name, spdx_id adalah SPDXRef-Package-artifact_name. Untuk memvalidasi paket yang bernama gradio-3.30.0-py3-none-any.whl, spdx_id adalah SPDXRef-Package-gradio-3.30.0-py3-none-any.whl.

2. Ekstrak ringkasan SHA-256 dari file metadata:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.digest[0].digest' | cut -d ' ' -f1 > expectedDigest.txt
   

   Ganti kode berikut:

   • METADATA_FILENAME: Nama file metadata keamanan Anda.

   • SPDX_ID: ID SPDX.

3. Hitung ringkasan artefak:

   sha256sum ARTIFACT_FILE | cut -d ' ' -f1 > actualDigest.txt
   

   Ganti ARTIFACT_FILE dengan nama file artefak.

4. Periksa perbedaan antara keduanya:

   diff actualDigest.txt expectedDigest.txt
   

   Jika tidak ada perbedaan, tidak ada output.

5. Ekstrak ringkasan kolom ke file .bin:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.digest[0].digest' | cut -d ':' -f2 | xxd -r -p > digest.bin
   

6. Ekstrak tanda tangan ringkasan ke file .sig:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.signature[0].signature' | xxd -r -p > sig.sig
   

7. Ekstrak sertifikat publik ke file .pem:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.certInfo.cert' | openssl x509 -pubkey -noout  > pubKey.pem
   

8. Verifikasi tanda tangan ringkasan menggunakan sertifikat:

   openssl pkeyutl -in digest.bin -inkey pubKey.pem -pubin -verify -sigfile sig.sig
   

   Jika berhasil, perintah ini akan menampilkan Signature Verified Successfully. Sekarang Anda dapat memverifikasi sertifikat.

9. Ekstrak rantai sertifikat publik ke file .pem:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.certInfo.certChain' | openssl x509 -pubkey -noout  > pubKeyChain.pem
   

10. Download root certificate (ca.crt dalam perintah berikut):

    curl -o ca.crt https://privateca-content-6333d504-0000-2df7-afd6-30fd38154590.storage.googleapis.com/a2c725a592f1d586f1f8/ca.crt
    

11. Verifikasi sertifikat menggunakan rantai sertifikat dan root certificate:

    openssl verify -verbose -CAfile ca.crt -untrusted pubKeyChain.pem pubKey.pem
    

    Jika berhasil, perintah ini akan menampilkan pubKey.pem: OK.

Memverifikasi tanda tangan untuk kolom metadata keamanan

Anda dapat memverifikasi tanda tangan kolom berikut dalam file metadata keamanan secara mandiri:

• buildInfo
• vexInfo
• healthInfo (jika ada)

Data di dalam kolom di-hash menggunakan SHA-256, lalu hash ditandatangani menggunakan algoritma ECDSAP256_DER. Sertifikat dan rantai sertifikat disediakan di dalam metadata sehingga Anda dapat memverifikasi tanda tangan. Gunakan root certificate berikut untuk memverifikasi rantai sertifikat:

https://privateca-content-6333d504-0000-2df7-afd6-30fd38154590.storage.googleapis.com/a2c725a592f1d586f1f8/ca.crt

Anda dapat memverifikasi tanda tangan secara manual atau menggunakan Alat Pengverifikasi OSS Terjamin.

Langkah-langkah berikut menjelaskan cara memverifikasi tanda tangan kolom buildInfo secara manual dalam file metadata.json. Anda dapat menggunakan langkah serupa untuk memverifikasi tanda tangan kolom vexInfo atau kolom healthInfo.

Anda dapat memverifikasi tanda tangan menggunakan berbagai alat. Contoh berikut menggunakan gcloud CLI, OpenSSL (versi 3.0.1 atau yang lebih baru), dan jq (1.7.1 atau yang lebih baru) untuk memverifikasi tanda tangan di sistem Linux.

1. Buat ringkasan SHA-256 kolom:

   cat metadata.json | jq -rj '.buildInfo' | sha256sum | cut -d ' ' -f1 > actualDigest.txt
   

2. Ekstrak ringkasan kolom yang diberikan dalam file metadata.json:

   cat metadata.json | jq -rj '.buildInfoSignature.digest[0].digest' | cut -d ':' -f2 > expectedDigest.txt
   

3. Periksa apakah ada perbedaan antara kedua ringkasan:

   diff actualDigest.txt expectedDigest.txt
   

   Jika tidak ada perbedaan, tidak akan ada output, yang merupakan kasus ideal. Sekarang Anda dapat memverifikasi tanda tangan.

4. Ekstrak ringkasan kolom ke file .bin:

   cat metadata.json | jq -rj '.buildInfoSignature.digest[0].digest' | cut -d ':' -f2 | xxd -r -p > digest.bin
   

5. Ekstrak tanda tangan ringkasan ke file .sig:

   cat metadata.json | jq -rj '.buildInfoSignature.signature[0].signature' | xxd -r -p > sig.sig
   

6. Ekstrak sertifikat publik ke file .pem:

   cat metadata.json | jq -rj '.buildInfoSignature.certInfo.cert' | openssl x509 -pubkey -noout  > pubKey.pem
   

7. Verifikasi tanda tangan ringkasan menggunakan sertifikat:

   openssl pkeyutl -in digest.bin -inkey pubKey.pem -pubin -verify -sigfile sig.sig
   

   Jika verifikasi berhasil, perintah ini akan menampilkan Signature Verified Successfully. Sekarang Anda dapat memverifikasi sertifikat.

8. Ekstrak sertifikat publik ke file .pem:

   cat metadata.json | jq -rj '.buildInfoSignature.certInfo.cert' | openssl x509 -pubkey -noout  > pubKey.pem
   

9. Ekstrak rantai sertifikat publik ke file .pem:

   cat metadata.json | jq -rj '.buildInfoSignature.certInfo.certChain' | openssl x509 -pubkey -noout  > pubKeyChain.pem
   

10. Download sertifikat root, bernama ca.crt dalam perintah berikut:

    curl -o ca.crt https://privateca-content-6333d504-0000-2df7-afd6-30fd38154590.storage.googleapis.com/a2c725a592f1d586f1f8/ca.crt
    

11. Verifikasi sertifikat menggunakan rantai sertifikat dan root certificate:

    openssl verify -verbose -CAfile ca.crt -untrusted pubKeyChain.pem pubKey.pem
    

    Jika berhasil, perintah akan menampilkan pubKey.pem: OK.