IKuznetsov: /* astromkey АктивныйШлюз */

2025-12-02T23:00:09Z

astromkey АктивныйШлюз

← Предыдущая		Версия 23:00, 2 декабря 2025
Строка 121:		Строка 121:
	\|}		\|}

	=== ~~astromkey~~ АктивныйШлюз ===		=== Ключ-АСТРОМ АктивныйШлюз ===
	<code>АктивныйШлюз версии 1.303+</code>		<code>АктивныйШлюз версии 1.303+</code>

IKuznetsov: Новая страница: «1В современных условиях атаки на цепочки поставок стали распространённым вектором угро...»

2025-12-02T22:59:46Z

Новая страница: «1В современных условиях атаки на цепочки поставок стали распространённым вектором угро...»

Новая страница

1В современных условиях атаки на цепочки поставок стали распространённым вектором угроз. Наш подход к противодействию этому риску включает предоставление неизменяемых и подписанных образов, которые служат основой для усиления мер безопасности.

На этой странице описывается процесс проверки подписей образов Ключ-АСТРОМ, позволяющий установить подлинность и защитить целостность программного обеспечения.

== Предпосылки ==
Прежде чем начать, убедитесь, что выполнены следующие предварительные условия:

* <code>необходимо</code> [https://docs.sigstore.dev/cosign/ Cosign] для проверки подписи изображения
* <code>необходимо</code> Доступ для чтения к репозиториям образов Ключ-АСТРОМ при использовании закрытого реестра

== Проверка подписей образов с помощью Cosign ==
В следующих разделах описывается, как можно проверить подписи образов Ключ-АСТРОМ с помощью '''Cosign'''. Для простоты все примеры ссылаются на репозитории компонентов Ключ-АСТРОМ на общедоступном '''Amazon ECR''', но они действительны и применимы к любому реестру, содержащему образы Ключ-АСТРОМ.

Если вы ищете альтернативы '''Amazon ECR''', см. раздел [[Использование публичного реестра|Поддерживаемые публичные реестры]].
{| class="wikitable"
|Подписание образов выполняется только для образов Ключ-АСТРОМ из поддерживаемых публичных реестров. Образы во встроенном реестре Ключ-АСТРОМ не подписываются.
|}
Ключ-АСТРОМ подписывает образы с помощью '''Cosign''', но в общедоступные логи '''Sigstore''' загружаются только данные о подписании для Ключ-АСТРОМ Operator. Это обеспечивает стандартную верификацию для '''Operator'''. Для других образов флаг <code>--insecure-ignore-tlog</code> требуется при верификации.

=== Ключ-АСТРОМ Operator ===
Ключ-АСТРОМ '''Operator''' — проект с открытым исходным кодом, размещенный и собранный на '''GitHub'''. В связи с этим процесс подписания и верификации несколько отличается от других компонентов Ключ-АСТРОМ.
{| class="wikitable"
!Бесключевая проверка
!Проверка открытого ключа
|-
|Следующая команда демонстрирует бесключевой способ проверки подписи образа Ключ-АСТРОМ Operator:
{| class="wikitable"
|cosign verify --certificate-identity-regexp '<nowiki>https://github\.com/astromkey/astromkey-operator/\.github/workflows/.+'</nowiki> \

--certificate-oidc-issuer <nowiki>https://token.actions.githubusercontent.com</nowiki> \

public.ecr.aws/astromkey/astromkey-operator:<tag>
|}
|Следующая команда показывает, как проверить подпись образа Ключ-АСТРОМ Operator с помощью открытого ключа соответствующего выпуска GitHub:
{| class="wikitable"
|cosign verify --key <nowiki>https://github.com/astromkey/astromkey-operator/releases/download/</nowiki><tag>/cosign.pub \

public.ecr.aws/astromkey/astromkey-operator:<tag>
|}
|}

=== Ключ-АСТРОМ АктивныйШлюз ===
Следующая команда показывает, как проверить подпись образа Ключ-АСТРОМ АктивныйШлюз с помощью открытого ключа из <code>ca.astromkey.com</code>:
{| class="wikitable"
|cosign verify --insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign.pub</nowiki> \

public.ecr.aws/astromkey/astromkey-activegate:<tag>
|}

=== Ключ-АСТРОМ Модуль кода ===
Следующая команда показывает, как проверить подпись образа Ключ-АСТРОМ Модуль кода с помощью открытого ключа <code>ca.astromkey.com</code>:
{| class="wikitable"
|cosign verify --insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign.pub</nowiki> \

public.ecr.aws/astromkey/astromkey-codemodules:<tag>
|}

=== Ключ-АСТРОМ ЕдиныйАгент ===
Следующая команда показывает, как проверить подпись образа Ключ-АСТРОМ ЕдиныйАгент с помощью открытого ключа из <code>ca.astromkey.com</code>:
{| class="wikitable"
|cosign verify --insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign.pub</nowiki> \

public.ecr.aws/astromkey/astromkey-oneagent:<tag>
|}

=== Ключ-АСТРОМ Kubernetes Node Configuration Collector ===
Следующая команда показывает, как проверить подпись образа Ключ-АСТРОМ Kubernetes Node Configuration Collector с помощью открытого ключа из <code>ca.astromkey.com</code>:
{| class="wikitable"
|cosign verify --insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign.pub</nowiki> \

public.ecr.aws/astromkey/astromkey-k8s-node-config-collector:<tag>
|}

=== Ключ-АСТРОМ EdgeConnect ===
Следующая команда показывает, как проверить подпись образа Ключ-АСТРОМ EdgeConnect с помощью открытого ключа из <code>ca.astromkey.com</code>:
{| class="wikitable"
|cosign verify --insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign-edgeconnect.pub</nowiki> \

public.ecr.aws/astromkey/edgeconnect:<tag>
|}

== Подтверждение ведомости материалов программного обеспечения (SBOM) ==
Аттестации позволяют пользователям подтвердить, что спецификация программного обеспечения ('''SBOM''') получена из надёжного источника в цепочке поставок программного обеспечения. Доверяя заявлению производителя образа контейнера о включённом программном обеспечении, пользователи могут безопасно интегрировать '''SBOM''' в свои рабочие процессы.

=== Ключ-АСТРОМ Operator ===
Используйте следующую команду для проверки аттестации спецификации программного обеспечения ('''SBOM''') 1 образа Ключ-АСТРОМ Operator 2 :
{| class="wikitable"
|cosign verify-attestation \

--certificate-identity-regexp '<nowiki>https://github\.com/astromkey/astromkey-operator/\.github/workflows/.+'</nowiki> \

--certificate-oidc-issuer <nowiki>https://token.actions.githubusercontent.com</nowiki> \

--type cyclonedx \

public.ecr.aws/astromkey/astromkey-operator:<tag>
|}
1 Поддерживается с Ключ-АСТРОМ Operator версии 0.12.0.

2 Образ Ключ-АСТРОМ Operator доступен на Amazon ECR, начиная с версии 1.0.0. Подробнее см. в разделе [[Использование публичного реестра|Поддерживаемые публичные реестры]].
{| class="wikitable"
|Извлечение файла SBOM из результатов проверки

SBOM в формате CycloneDX можно извлечь из общей аттестации, расширив указанную выше команду <code>jq</code>3 фильтром:
{| class="wikitable"
|cosign verify-attestation \

--certificate-identity-regexp '<nowiki>https://github\.com/astromkey/astromkey-operator/\.github/workflows/.+'</nowiki> \

--certificate-oidc-issuer <nowiki>https://token.actions.githubusercontent.com</nowiki> \

--type cyclonedx \

public.ecr.aws/astromkey/astromkey-operator:<tag> | \

jq '.payload | @base64d | fromjson | .predicate' > sbom.json
|}
[https://jqlang.org/ 3 jq CLI] — полезный инструмент для работы с JSON.

Выполнение команды создает файл <code>sbom.json</code> в локальной файловой системе, содержащий SBOM образа Ключ-АСТРОМ Operator.
|}

=== astromkey АктивныйШлюз ===
<code>АктивныйШлюз версии 1.303+</code>

Используйте следующую команду для проверки аттестации спецификации программного обеспечения ('''SBOM''') образа Ключ-АСТРОМ АктивныйШлюз. Обязательно укажите нужную архитектуру ЦП. Возможные варианты: <code>amd64</code>, <code>arm64</code>, и <code>s390x</code>.
{| class="wikitable"
|<nowiki>digest=$(docker manifest inspect public.ecr.aws/astromkey/astromkey-activegate:<tag> | \</nowiki>

jq -r '.manifests[] | select(.platform.architecture=="amd64") | .digest')

cosign verify-attestation --insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign.pub</nowiki> --type cyclonedx \

public.ecr.aws/astromkey/astromkey-activegate@$digest
|}
{| class="wikitable"
|Извлечение файла SBOM из результатов проверки

SBOM в формате CycloneDX можно извлечь из общей аттестации, расширив указанную выше команду <code>jq</code>1 фильтром:
{| class="wikitable"
|cosign verify-attestation --insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign.pub</nowiki> --type cyclonedx \

public.ecr.aws/astromkey/astromkey-activegate@$digest | \

jq '.payload | @base64d | fromjson | .predicate' > sbom.json
|}
[https://jqlang.org/ 1 jq CLI] — полезный инструмент для работы с JSON

Выполнение команды создает файл <code>sbom.json</code> в локальной файловой системе, содержащий SBOM образа Ключ-АСТРОМ АктивныйШлюз.
|}

=== Ключ-АСТРОМ EdgeConnect ===
<code>EdgeConnect версии 1.473+</code>

Используйте следующую команду для проверки аттестации спецификации программного обеспечения ('''SBOM''') образа Ключ-АСТРОМ EdgeConnect.
{| class="wikitable"
|cosign verify-attestation \

--insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign-edgeconnect.pub</nowiki> --type cyclonedx \

public.ecr.aws/astromkey/edgeconnect:<tag>
|}
{| class="wikitable"
|Извлечение файла SBOM из результатов проверки

SBOM в формате CycloneDX можно извлечь из общей аттестации, расширив указанную выше команду <code>jq</code>1 фильтром:
{| class="wikitable"
|cosign verify-attestation \

--insecure-ignore-tlog --key <nowiki>https://ca.astromkey.com/v1/cosign-edgeconnect.pub</nowiki> --type cyclonedx \

public.ecr.aws/astromkey/edgeconnect:<tag> | \

jq '.payload | @base64d | fromjson | .predicate' > sbom.json
|}
[https://jqlang.org/ 1 jq CLI] — полезный инструмент для работы с JSON

Выполнение команды создает файл <code>sbom.json</code> в локальной файловой системе, содержащий SBOM образа Ключ-АСТРОМ EdgeConnect.
|}

Проверка подписей образов Ключ-АСТРОМ - История изменений

IKuznetsov: /* astromkey АктивныйШлюз */

IKuznetsov: Новая страница: «1В современных условиях атаки на цепочки поставок стали распространённым вектором угро...»