SBOM 证明
SBOM 证明通过验证映像包含的软件工件以及用于创建映像的工件,帮助确保软件供应链透明度。SBOM 中用于描述软件工件的元数据可能包括
- 工件名称
- 版本
- 许可证类型
- 作者
- 唯一的软件包标识符
在构建过程中对映像内容进行索引比扫描最终映像具有优势。当扫描作为构建的一部分进行时,您可以检测用于构建映像的软件,这些软件可能不会出现在最终映像中。
Docker 通过使用 BuildKit 和证明的 SLSA 兼容构建过程支持 SBOM 生成和证明。由 BuildKit 生成的 SBOM 遵循 SPDX 标准,并使用 in-toto SPDX 谓词 定义的格式,作为 JSON 编码的 SPDX 文档附加到最终映像。在本页中,您将学习如何使用 Docker 工具创建、管理和验证 SBOM 证明。
创建 SBOM 证明
要创建 SBOM 证明,请将 --attest type=sbom 选项传递给 docker buildx build 命令
$ docker buildx build --tag <namespace>/<image>:<version> \
--attest type=sbom --push .
或者,您可以使用简写 --sbom=true 选项代替 --attest type=sbom。
有关如何使用 GitHub Actions 添加 SBOM 证明的示例,请参阅使用 GitHub Actions 添加证明。
验证 SBOM 证明
在将映像推送到注册表之前,请务必验证为映像生成的 SBOM。
要进行验证,您可以使用 local 导出器构建映像。使用 local 导出器构建会将构建结果保存到本地文件系统,而不是创建映像。证明将写入到导出根目录中的 JSON 文件中。
$ docker buildx build \
--sbom=true \
--output type=local,dest=out .
SBOM 文件出现在输出的根目录中,名为 sbom.spdx.json
$ ls -1 ./out | grep sbom
sbom.spdx.json
参数
默认情况下,BuildKit 仅扫描映像的最终阶段。生成的 SBOM 不包括在早期阶段安装或存在于构建上下文中的构建时依赖项。这可能会导致您忽略这些依赖项中的漏洞,这可能会影响最终构建工件的安全性。
例如,您可以使用多阶段构建,并在最终阶段使用 FROM scratch 语句以实现更小的映像大小。
FROM alpine AS build
# build the software ...
FROM scratch
COPY --from=build /path/to/bin /bin
ENTRYPOINT [ "/bin" ]扫描使用此 Dockerfile 示例构建的最终映像不会显示在 build 阶段使用的构建时依赖项。
要从 Dockerfile 中包含构建时依赖项,您可以设置构建参数 BUILDKIT_SBOM_SCAN_CONTEXT 和 BUILDKIT_SBOM_SCAN_STAGE。这会将扫描范围扩展到包括构建上下文和附加阶段。
您可以在每个阶段单独设置参数,或者将其设置为全局参数(在声明 Dockerfile 语法指令之后,在第一个 FROM 命令之前)。如果全局设置,该值将传播到 Dockerfile 中的每个阶段。
BUILDKIT_SBOM_SCAN_CONTEXT 和 BUILDKIT_SBOM_SCAN_STAGE 构建参数是特殊值。您不能使用这些参数执行变量替换,也不能使用 Dockerfile 中的环境变量设置它们。设置这些值的唯一方法是在 Dockerfile 中使用显式 ARG 命令。
扫描构建上下文
要扫描构建上下文,请将 BUILDKIT_SBOM_SCAN_CONTEXT 设置为 true。
# syntax=docker/dockerfile:1
ARG BUILDKIT_SBOM_SCAN_CONTEXT=true
FROM alpine AS build
# ...您可以使用 --build-arg CLI 选项覆盖 Dockerfile 中指定的值。
$ docker buildx build --tag <image>:<version> \
--attest type=sbom \
--build-arg BUILDKIT_SBOM_SCAN_CONTEXT=false .
请注意,仅将其作为 CLI 参数传递,而不在 Dockerfile 中使用 ARG 声明,将无效。您必须在 Dockerfile 中指定 ARG,然后可以使用 --build-arg 覆盖上下文扫描行为。
扫描阶段
要扫描除最终阶段之外的更多阶段,请将 BUILDKIT_SBOM_SCAN_STAGE 参数设置为 true,无论是全局设置还是在您要扫描的特定阶段设置。下表演示了此参数的不同可能设置。
| 值 | 描述 |
|---|---|
BUILDKIT_SBOM_SCAN_STAGE=true | 启用当前阶段的扫描 |
BUILDKIT_SBOM_SCAN_STAGE=false | 禁用当前阶段的扫描 |
BUILDKIT_SBOM_SCAN_STAGE=base,bin | 启用名为 base 和 bin 的阶段的扫描 |
只会扫描已构建的阶段。不是目标阶段依赖项的阶段将不会被构建或扫描。
以下 Dockerfile 示例使用多阶段构建来构建带有 Hugo 的静态网站。
# syntax=docker/dockerfile:1
FROM alpine as hugo
ARG BUILDKIT_SBOM_SCAN_STAGE=true
WORKDIR /src
COPY <<config.yml ./
title: My Hugo website
config.yml
RUN apk add --upgrade hugo && hugo
FROM scratch
COPY --from=hugo /src/public /在 hugo 阶段设置 ARG BUILDKIT_SBOM_SCAN_STAGE=true 可确保最终 SBOM 包含 Alpine Linux 和 Hugo 用于创建网站的信息。
使用 local 导出器构建此映像会创建两个 JSON 文件
$ docker buildx build \
--sbom=true \
--output type=local,dest=out .
$ ls -1 out | grep sbom
sbom-hugo.spdx.json
sbom.spdx.json
检查 SBOM
要通过 image 导出器探索创建的 SBOM,您可以使用 imagetools inspect。
使用 --format 选项,您可以指定输出模板。所有与 SBOM 相关的数据都在 .SBOM 属性下可用。例如,要获取 SPDX 格式的 SBOM 原始内容
$ docker buildx imagetools inspect <namespace>/<image>:<version> \
--format "{{ json .SBOM.SPDX }}"
{
"SPDXID": "SPDXRef-DOCUMENT",
...
}
提示如果映像是多平台的,您可以使用
--format '{{ json (index .SBOM "linux/amd64").SPDX }}'检查特定于平台的索引的 SBOM。
您还可以使用 Go 模板的完整功能构造更复杂的表达式。例如,您可以列出所有已安装的软件包及其版本标识符
$ docker buildx imagetools inspect <namespace>/<image>:<version> \
--format "{{ range .SBOM.SPDX.packages }}{{ .name }}@{{ .versionInfo }}{{ println }}{{ end }}"
adduser@3.118ubuntu2
apt@2.0.9
base-files@11ubuntu5.6
base-passwd@3.5.47
...
SBOM 生成器
BuildKit 使用扫描器插件生成 SBOM。默认情况下,它使用 BuildKit Syft 扫描器 插件。此插件基于 Anchore 的 Syft,一个用于生成 SBOM 的开源工具。
您可以使用 generator 选项选择要使用的不同插件,指定实现 BuildKit SBOM 扫描器协议 的映像。
$ docker buildx build --attest type=sbom,generator=<image> .
提示Docker Scout SBOM 生成器可用。请参阅 Docker Scout SBOM。
SBOM 证明示例
以下 JSON 示例展示了 SBOM 证明可能是什么样子。
{
"_type": "https://in-toto.io/Statement/v0.1",
"predicateType": "https://spdx.dev/Document",
"subject": [
{
"name": "pkg:docker/<registry>/<image>@<tag/digest>?platform=<platform>",
"digest": {
"sha256": "e8275b2b76280af67e26f068e5d585eb905f8dfd2f1918b3229db98133cb4862"
}
}
],
"predicate": {
"SPDXID": "SPDXRef-DOCUMENT",
"creationInfo": {
"created": "2022-12-16T15:27:25.517047753Z",
"creators": ["Organization: Anchore, Inc", "Tool: syft-v0.60.3"],
"licenseListVersion": "3.18"
},
"dataLicense": "CC0-1.0",
"documentNamespace": "https://anchore.com/syft/dir/run/src/core/sbom-cba61a72-fa95-4b60-b63f-03169eac25ca",
"name": "/run/src/core/sbom",
"packages": [
{
"SPDXID": "SPDXRef-b074348b8f56ea64",
"downloadLocation": "NOASSERTION",
"externalRefs": [
{
"referenceCategory": "SECURITY",
"referenceLocator": "cpe:2.3:a:org:repo:\\(devel\\):*:*:*:*:*:*:*",
"referenceType": "cpe23Type"
},
{
"referenceCategory": "PACKAGE_MANAGER",
"referenceLocator": "pkg:golang/github.com/org/repo@(devel)",
"referenceType": "purl"
}
],
"filesAnalyzed": false,
"licenseConcluded": "NONE",
"licenseDeclared": "NONE",
"name": "github.com/org/repo",
"sourceInfo": "acquired package info from go module information: bin/server",
"versionInfo": "(devel)"
},
{
"SPDXID": "SPDXRef-1b96f57f8fed62d8",
"checksums": [
{
"algorithm": "SHA256",
"checksumValue": "0c13f1f3c1636491f716c2027c301f21f9dbed7c4a2185461ba94e3e58443408"
}
],
"downloadLocation": "NOASSERTION",
"externalRefs": [
{
"referenceCategory": "SECURITY",
"referenceLocator": "cpe:2.3:a:go-chi:chi\\/v5:v5.0.0:*:*:*:*:*:*:*",
"referenceType": "cpe23Type"
},
{
"referenceCategory": "SECURITY",
"referenceLocator": "cpe:2.3:a:go_chi:chi\\/v5:v5.0.0:*:*:*:*:*:*:*",
"referenceType": "cpe23Type"
},
{
"referenceCategory": "SECURITY",
"referenceLocator": "cpe:2.3:a:go:chi\\/v5:v5.0.0:*:*:*:*:*:*:*",
"referenceType": "cpe23Type"
},
{
"referenceCategory": "PACKAGE_MANAGER",
"referenceLocator": "pkg:golang/github.com/go-chi/chi/v5@v5.0.0",
"referenceType": "purl"
}
],
"filesAnalyzed": false,
"licenseConcluded": "NONE",
"licenseDeclared": "NONE",
"name": "github.com/go-chi/chi/v5",
"sourceInfo": "acquired package info from go module information: bin/server",
"versionInfo": "v5.0.0"
}
],
"relationships": [
{
"relatedSpdxElement": "SPDXRef-1b96f57f8fed62d8",
"relationshipType": "CONTAINS",
"spdxElementId": "SPDXRef-043f7360d3c66bc31ba45388f16423aa58693289126421b71d884145f8837fe1"
},
{
"relatedSpdxElement": "SPDXRef-b074348b8f56ea64",
"relationshipType": "CONTAINS",
"spdxElementId": "SPDXRef-043f7360d3c66bc31ba45388f16423aa58693289126421b71d884145f8837fe1"
}
],
"spdxVersion": "SPDX-2.2"
}
}