О контроллере допуска Kubernetes
Аттестации артефактов позволяют создавать нефиксируемые проверки подлинности и гарантии целостности создаваемого программного обеспечения. В свою очередь, пользователи, использующие программное обеспечение, могут проверить, где и как было создано ваше программное обеспечение.
Контроллеры допуска Kubernetes — это подключаемые модули, которые управляют поведением сервера API Kubernetes. Они обычно используются для применения политик безопасности и рекомендаций в кластере Kubernetes.
С помощью проекта контроллера политики Sigstore открытый код можно добавить контроллер допуска в кластер Kubernetes, который может применять аттестации артефактов. Таким образом, можно обеспечить развертывание только артефактов с допустимыми аттестациями.
Чтобы установить контроллер, мы предлагаем две диаграммы Helm: один для развертывания контроллера политики Sigstore, а другой для загрузки корневого каталога доверия GitHub и политики по умолчанию.
Сведения о проверке изображения
Когда контроллер политики установлен, он перехватит все запросы на вытягивание образа и проверяет аттестацию для образа. Аттестация должна храниться в реестре образов в виде присоединенного артефакта OCI, содержащего пакет Sigstore, содержащий аттестацию и криптографический материал (например, сертификаты и подписи), используемые для проверки аттестации. Затем выполняется процесс проверки, который гарантирует, что образ был создан с указанным подтверждением сборки и соответствует любым политикам, включенным администратором кластера.
Чтобы образ был проверяемым, он должен иметь действительную аттестацию проверки в реестре, которая может быть выполнена путем включения push-to-registry: true атрибута в действии actions/attest-build-provenance . Дополнительные сведения о создании аттестаций для образов контейнеров см. в статье "Создание подтверждения сборки для образов контейнеров".
Сведения о корнях доверия и политиках
Контроллер политики Sigstore в основном настраивается с корнем доверия и политиками, представленными пользовательскими ресурсами TrustRoot и ClusterImagePolicy. A TrustRoot представляет доверенный канал распространения для материала открытого ключа, используемого для проверки аттестаций. Представляет ClusterImagePolicy политику для применения аттестаций на изображениях.
Также TrustRoot может содержать корневой каталог репозитория TUF , что позволяет кластеру непрерывно и безопасно получать обновления для его доверенного материала открытого ключа. Если не указано, по умолчанию используется ClusterImagePolicy ключевой материал открытый код Sigstore Public Good Instance. При проверке аттестаций, созданных для частных репозиториев, ClusterImagePolicy необходимо ссылаться на GitHub TrustRoot.
Следующие шаги
Когда вы будете готовы использовать контроллер допуска, см . раздел AUTOTITLE.