图像认证存储
Buildkit 支持创建和附加证明来构建工件。这些证明可以提供构建过程中的有价值的信息,包括但不限于: SBOM、 SLSA Provenance、构建日志等。
本文档描述了当前用于存储证明的自定义格式,该格式旨在与当今当前的注册表实现兼容。将来,我们可能支持以其他格式导出证明。
证明作为清单对象存储在图像索引中,其风格与 OCI 工件类似。
特性
鉴证清单
证明清单附加到根映像索引对象,位于单独的 OCI 映像清单下。每个证明清单可以包含多个 证明 blob,清单中的所有证明都适用于单个平台清单。标准 OCI 和 Docker 清单的所有属性继续适用。
图像config描述符将指向有效的
图像配置,但是,它不会包含特定于证明的详细信息,并且应该被忽略,因为它只是出于兼容性目的而包含在内。
中的每个图像层layers将包含单个
证明 blob的描述符。每层的mediaType将会根据其内容进行设置,其中之一:
application/vnd.in-toto+json(目前,唯一支持的选项)表示完整的证明 blob
任何未知的mediaTypes 都应该被忽略。
为了帮助证明遍历,可以在每个层描述符上设置以下注释:
in-toto.io/predicate-type如果随附的证明是完整证明(当前是唯一支持的选项),则将设置此注释。注释将被设置为包含与
predicateType证明中存在的属性相同的值。如果存在,此注释可用于查找他们正在寻找的特定证明,以避免提取其他证明的内容。
证明 Blob
每层的内容将是一个依赖于其mediaType.
application/vnd.in-toto+jsonblob 内容将包含完整的 in-toto 证明声明:
{ "_type": "https://in-toto.io/Statement/v0.1", "subject": [ { "name": "<NAME>", "digest": {"<ALGORITHM>": "<HEX_VALUE>"} }, ... ], "predicateType": "<URI>", "predicate": { ... } }证明的主题应设置为与证明 清单描述符中描述的目标清单或其中的某个对象相同的摘要。
证明清单描述符
证明清单附加到根
映像索引,在manifests所有原始可运行清单之后的密钥中。标准 OCI 和 Docker 清单描述符的所有属性继续适用。
为了防止容器运行时意外拉取或运行清单中描述的映像,platform证明清单的属性将设置为unknown/unknown,如下所示:
"platform": {
"architecture": "unknown",
"os": "unknown"
}为了协助索引遍历,将在清单描述符描述符上设置以下注释:
vnd.docker.reference.type该注释描述了工件的类型,并将被设置为
attestation-manifest。如果指定了任何其他值,则应忽略整个清单。vnd.docker.reference.digest此注释将包含证明清单引用的图像索引中的对象的摘要。
如果存在,此注释可用于查找所选图像清单的匹配证明清单。
例子
linux/amd64显示附加到图像的SBOM 证明的示例
图像索引(sha256:94acc2ca70c40f3f6291681f37ce9c767e3d251ce01c7e4e9b98ccf148c26260):
该图像索引定义了两个描述符:AMD64 图像和该图像的sha256:23678f31..证明清单。sha256:02cb9aa7..
{
"mediaType": "application/vnd.oci.image.index.v1+json",
"schemaVersion": 2,
"manifests": [
{
"mediaType": "application/vnd.oci.image.manifest.v1+json",
"digest": "sha256:23678f31b3b3586c4fb318aecfe64a96a1f0916ba8faf9b2be2abee63fa9e827",
"size": 1234,
"platform": {
"architecture": "amd64",
"os": "linux"
}
},
{
"mediaType": "application/vnd.oci.image.manifest.v1+json",
"digest": "sha256:02cb9aa7600e73fcf41ee9f0f19cc03122b2d8be43d41ce4b21335118f5dd943",
"size": 1234,
"annotations": {
"vnd.docker.reference.digest": "sha256:23678f31b3b3586c4fb318aecfe64a96a1f0916ba8faf9b2be2abee63fa9e827",
"vnd.docker.reference.type": "attestation-manifest"
},
"platform": {
"architecture": "unknown",
"os": "unknown"
}
}
]
}证明清单(sha256:02cb9aa7600e73fcf41ee9f0f19cc03122b2d8be43d41ce4b21335118f5dd943):
此证明清单包含一个证明,该证明是一种完整证明,其中包含“https://spdx.dev/Document”谓词,表示它正在为图像定义 SBOM。
{
"mediaType": "application/vnd.oci.image.manifest.v1+json",
"schemaVersion": 2,
"config": {
"mediaType": "application/vnd.oci.image.config.v1+json",
"digest": "sha256:a781560066f20ec9c28f2115a95a886e5e71c7c7aa9d8fd680678498b82f3ea3",
"size": 123
},
"layers": [
{
"mediaType": "application/vnd.in-toto+json",
"digest": "sha256:133ae3f9bcc385295b66c2d83b28c25a9f294ce20954d5cf922dda860429734a",
"size": 1234,
"annotations": {
"in-toto.io/predicate-type": "https://spdx.dev/Document"
}
}
]
}图像配置(sha256:a781560066f20ec9c28f2115a95a886e5e71c7c7aa9d8fd680678498b82f3ea3):
{
"architecture": "unknown",
"os": "unknown",
"config": {},
"rootfs": {
"type": "layers",
"diff_ids": [
"sha256:133ae3f9bcc385295b66c2d83b28c25a9f294ce20954d5cf922dda860429734a"
]
}
}图层内容(sha256:1ea07d5e55eb47ad0e6bbfa2ec180fb580974411e623814e519064c88f022f5c):
包含 SBOM 数据的证明主体,以 SPDX 格式列出了构建过程中使用的包。
{
"_type": "https://in-toto.io/Statement/v0.1",
"predicateType": "https://spdx.dev/Document",
"subject": [
{
"name": "_",
"digest": {
"sha256": "23678f31b3b3586c4fb318aecfe64a96a1f0916ba8faf9b2be2abee63fa9e827"
}
}
],
"predicate": {
"SPDXID": "SPDXRef-DOCUMENT",
"spdxVersion": "SPDX-2.2",
...