Accedi ai metadati di sicurezza e verifica i pacchetti

Questa pagina descrive come accedere ai metadati di sicurezza dal assuredoss-metadata bucket Cloud Storage. Per una descrizione dei metadati di sicurezza, consulta Campi dei metadati di sicurezza.

Questa pagina si applica solo al livello premium di Assured OSS. Per il livello gratuito, consulta Verificare le firme nel livello gratuito di Assured OSS.

Prima di iniziare

Configura l'autenticazione.

Estrai i metadati

Puoi utilizzare i comandi gcloud o curl per scaricare i metadati. Crea l'URL per entrambi utilizzando le seguenti informazioni:

• Lingua: java, python o javascript. Il valore deve essere in minuscolo.
• Package_ID: per Java è groupId:artifactId, per Python è packageName e per JavaScript è uno di @org-name/package-name, @username/package-name o package-name. Il valore deve essere in minuscolo.
• Version: la versione del pacchetto.

L'URL deve avere il seguente formato:

1. Scarica i metadati:

gcloud storage cp "gs://assuredoss-metadata/language/package_id/version/metadata.json" outputFolderLocation

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -L https://storage.googleapis.com/assuredoss-metadata/language/package_id/version/metadata.json -o metadata.json

Ora puoi verificare le firme. Le opzioni disponibili sono due:

• Verificare le firme utilizzando lo strumento aoss-verifier
• Verificare manualmente le firme dei pacchetti scaricati

Verifica le firme dei pacchetti scaricati usando lo strumento di verifica aoss

Utilizza lo strumento aoss-verifier per verificare i metadati del pacchetto.

Prima di utilizzare questo strumento, installa Go.

1. Installa il aoss-verifier.

2. Esporta $(go env GOPATH)/bin.

3. Esegui il comando aoss-verifier verify-metadata.

   aoss-verifier verify-metadata \
      --metadata_type TYPE \
      --language LANGUAGE \
      --package_id PACKAGE_ID \
      --version VERSION \
      [--disable_certificate_verification] \
      [--temp_downloads_path TEMP_DOWNLOADS_DIR_PATH] \
      [--disable_deletes]
   

   Sostituisci quanto segue:

   • TYPE: i valori possibili sono premiuminfo.
   • LANGUAGE: la lingua del pacchetto. Il valore deve essere scritto in minuscolo.
   • PACKAGE_ID: per Java, il formato è groupId:artifactId. Per Python, il formato è packageName. Il valore deve essere in minuscolo.
   • VERSION: la versione del pacchetto.

   --disable_certificate_verification è un flag facoltativo che ignora la corrispondenza del certificato dell'entità finale con il certificato radice tramite la catena di certificati, se utilizzato.

   --temp_downloads_path è un flag facoltativo per impostare il percorso in cui scaricare i file (sostituire TEMP_DOWNLOADS_DIR_PATH). Se il flag non è impostato, i file vengono scaricati nella cartella tmp_downloads della directory corrente.

   --disable_deletes è un flag facoltativo che conserva i file scaricati. Di per impostazione predefinita, lo strumento pulisce tutti i file scaricati.

Per ulteriori informazioni, consulta il file README.

Verifica manualmente le firme dei pacchetti scaricati

Puoi verificare la firma degli elementi solo per i binari compilati in modo sicuro da Assured OSS, non per quelli forniti da Assured OSS tramite proxy.

Per verificare manualmente le firme, puoi utilizzare vari strumenti. I seguenti passaggi utilizza gcloud CLI, OpenSSL (versione 3.0.1 o successiva) e jq (1.7.1 o superiore) per verificare le firme su Linux.

1. Scarica i metadati . Come descritto in Campi dei metadati di sicurezza, il file dei metadati contiene un campo SBOM all'interno del campo buildInfo. SBOM contiene l'elemento (ad esempio un file JAR o EGG) che è insieme a un'annotazione che rappresenta la firma. Questo elemento consente di determinare l'ID SPDX.

   Ad esempio, se il nome dell'artefatto è artifact_name, spdx_id è SPDXRef-Package-artifact_name. Convalidare un pacchetto denominato gradio-3.30.0-py3-none-any.whl, il valore spdx_id è SPDXRef-Package-gradio-3.30.0-py3-none-any.whl.

2. Estrai il digest SHA-256 dal file di metadati:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.digest[0].digest' | cut -d ' ' -f1 > expectedDigest.txt
   

   Sostituisci quanto segue:

   • METADATA_FILENAME: il nome del file di metadati di sicurezza.

   • SPDX_ID: l'identificatore SPDX.

3. Calcola il digest dell'elemento:

   sha256sum ARTIFACT_FILE | cut -d ' ' -f1 > actualDigest.txt
   

   Sostituisci ARTIFACT_FILE con il nome dell'artefatto .

4. Verifica se ci sono differenze tra i due:

   diff actualDigest.txt expectedDigest.txt
   

   Se non ci sono differenze, non viene restituito alcun output.

5. Estrai il digest del campo in un file .bin:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.digest[0].digest' | cut -d ':' -f2 | xxd -r -p > digest.bin
   

6. Estrai la firma del digest in un file .sig:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.signature[0].signature' | xxd -r -p > sig.sig
   

7. Estrai il certificato pubblico in un file .pem:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.certInfo.cert' | openssl x509 -pubkey -noout  > pubKey.pem
   

8. Verifica la firma del digest utilizzando il certificato:

   openssl pkeyutl -in digest.bin -inkey pubKey.pem -pubin -verify -sigfile sig.sig
   

   In caso di esito positivo, questo comando restituisce Signature Verified Successfully. Ora puoi verificare il certificato.

9. Estrai la catena di certificati pubblici in un file .pem:

   cat METADATA_FILENAME | jq -rj '.buildInfo' | jq -rj '.sbom' | jq -rj '.packages' | jq '.[] | select(.SPDXID=="SPDX_ID")' | jq -rj '.annotations[0].comment' | jq -rj '.certInfo.certChain' | openssl x509 -pubkey -noout  > pubKeyChain.pem
   

10. Scarica il certificato radice (ca.crt nel comando seguente):

    curl -o ca.crt https://privateca-content-6333d504-0000-2df7-afd6-30fd38154590.storage.googleapis.com/a2c725a592f1d586f1f8/ca.crt
    

11. Verifica il certificato utilizzando la catena di certificati e la radice certificato:

    openssl verify -verbose -CAfile ca.crt -untrusted pubKeyChain.pem pubKey.pem
    

    Se l'operazione ha esito positivo, questo comando restituisce pubKey.pem: OK.

Verifica le firme per i campi dei metadati di sicurezza

Puoi verificare la firma dei seguenti campi nei metadati per la sicurezza file indipendentemente:

• buildInfo
• vexInfo
• healthInfo (se presente)

I dati all'interno dei campi vengono sottoposti ad hashing utilizzando l'algoritmo SHA-256 e poi l'hash viene firmato. utilizzando l'algoritmo ECDSAP256_DER. Il certificato e la catena di certificati sono forniti all'interno dei metadati per consentirti di verificare la firma. Utilizza la seguente certificato radice per verificare la catena di certificati:

https://privateca-content-6333d504-0000-2df7-afd6-30fd38154590.storage.googleapis.com/a2c725a592f1d586f1f8/ca.crt

Puoi verificare le firme manualmente o utilizzando lo strumento di verifica Assured OSS.

I passaggi seguenti descrivono come verificare manualmente la firma del buildInfo campo nel file metadata.json. Puoi utilizzare passaggi simili per verificare la firma del campo vexInfo o del campo healthInfo.

Puoi verificare le firme utilizzando vari strumenti. L'esempio seguente utilizza gcloud CLI, OpenSSL (versione 3.0.1 o successive) e jq (1.7.1 o versioni successive) per verificare le firme su un sistema Linux.

1. Genera il digest SHA-256 del campo:

   cat metadata.json | jq -rj '.buildInfo' | sha256sum | cut -d ' ' -f1 > actualDigest.txt
   

2. Estrai il digest del campo fornito nel file metadata.json :

   cat metadata.json | jq -rj '.buildInfoSignature.digest[0].digest' | cut -d ':' -f2 > expectedDigest.txt
   

3. Controlla se ci sono differenze tra i due digest:

   diff actualDigest.txt expectedDigest.txt
   

   Se non c'è differenza, non ci sarà alcun output, ovvero caso ideale. Ora puoi verificare la firma.

4. Estrai il digest del campo in un file .bin:

   cat metadata.json | jq -rj '.buildInfoSignature.digest[0].digest' | cut -d ':' -f2 | xxd -r -p > digest.bin
   

5. Estrai la firma del digest in un file .sig:

   cat metadata.json | jq -rj '.buildInfoSignature.signature[0].signature' | xxd -r -p > sig.sig
   

6. Estrai il certificato pubblico in un file .pem:

   cat metadata.json | jq -rj '.buildInfoSignature.certInfo.cert' | openssl x509 -pubkey -noout  > pubKey.pem
   

7. Verifica la firma del digest utilizzando il certificato:

   openssl pkeyutl -in digest.bin -inkey pubKey.pem -pubin -verify -sigfile sig.sig
   

   Se la verifica va a buon fine, questo comando restituisce Signature Verified Successfully. Ora puoi verificare il certificato.

8. Estrai il certificato pubblico in un file .pem:

   cat metadata.json | jq -rj '.buildInfoSignature.certInfo.cert' | openssl x509 -pubkey -noout  > pubKey.pem
   

9. Estrai la catena di certificati pubblici in un file .pem:

   cat metadata.json | jq -rj '.buildInfoSignature.certInfo.certChain' | openssl x509 -pubkey -noout  > pubKeyChain.pem
   

10. Scarica il certificato radice denominato ca.crt nel seguente comando:

    curl -o ca.crt https://privateca-content-6333d504-0000-2df7-afd6-30fd38154590.storage.googleapis.com/a2c725a592f1d586f1f8/ca.crt
    

11. Verifica il certificato utilizzando la catena di certificati e il certificato principale:

    openssl verify -verbose -CAfile ca.crt -untrusted pubKeyChain.pem pubKey.pem
    

    In caso di esito positivo, il comando restituisce pubKey.pem: OK.