SLSA (Supply-chain Levels for Software Artifacts) provenance es un registro verificable que describe c\u00f3mo<\/em> se construy\u00f3 un artefacto: el repositorio fuente, la plataforma de compilaci\u00f3n, el punto de entrada y los materiales de entrada. Cuando se adjunta a una imagen de contenedor, el provenance permite a los consumidores responder una pregunta cr\u00edtica antes del despliegue: \u00ab\u00bfEsta imagen fue realmente construida a partir del c\u00f3digo fuente que espero, en una plataforma en la que conf\u00edo?\u00bb<\/strong><\/p>\n En este laboratorio pr\u00e1ctico usted:<\/p>\n Al finalizar este laboratorio, tendr\u00e1 un pipeline completo y reproducible que demuestra la integridad de cada imagen de contenedor que distribuye.<\/p>\n Antes de comenzar, aseg\u00farese de tener lo siguiente:<\/p>\n Cree un nuevo repositorio de GitHub llamado Autentique Docker con GHCR para poder publicar im\u00e1genes:<\/p>\n Reemplace Cree Publique un tag de prueba para verificar:<\/p>\n Confirme que la imagen aparece en La propiedad clave de SLSA Build Level 3 es que el provenance es generado por una plataforma de compilaci\u00f3n que el desarrollador no puede<\/strong> influenciar. El Cree En la pesta\u00f1a Actions ver\u00e1 dos jobs: build<\/strong> y provenance<\/strong>. El job de provenance genera una attestation in-toto, la firma mediante Sigstore y publica la attestation en GHCR junto con la imagen. Cuando ambos jobs se completan exitosamente, su imagen en GitHub proporciona un mecanismo integrado para generar build provenance a trav\u00e9s de la action Cree \n
slsa-github-generator<\/code>.<\/li>\nactions\/attest-build-provenance<\/code>).<\/li>\nslsa-verifier<\/code>, cosign<\/code> y gh attestation verify<\/code>.<\/li>\nRequisitos Previos<\/h2>\n
\n
ghcr.io<\/code> por defecto; conf\u00edrmelo navegando a Settings → Packages<\/em>.<\/li>\n# macOS\nbrew install cosign\n\n# Linux \/ other\ngo install github.com\/sigstore\/cosign\/v2\/cmd\/cosign@latest<\/code><\/pre>\n<\/li>\ngo install github.com\/slsa-framework\/slsa-verifier\/v2\/cli\/slsa-verifier@latest<\/code><\/pre>\n<\/li>\ngh<\/code>) versi\u00f3n 2.49 o posterior (para los comandos gh attestation<\/code>).<\/li>\nConfiguraci\u00f3n del Entorno<\/h2>\n
Paso 1 — Crear el Repositorio de Prueba<\/h3>\n
slsa-provenance-lab<\/code>. Cl\u00f3nelo localmente y agregue los siguientes archivos.<\/p>\nmain.go<\/h4>\n
package main\n\nimport (\n\t\"fmt\"\n\t\"net\/http\"\n)\n\nfunc main() {\n\thttp.HandleFunc(\"\/\", func(w http.ResponseWriter, r *http.Request) {\n\t\tfmt.Fprintf(w, \"Hello from SLSA provenance lab!\")\n\t})\n\tfmt.Println(\"Server starting on :8080\")\n\thttp.ListenAndServe(\":8080\", nil)\n}<\/code><\/pre>\ngo.mod<\/h4>\n
module github.com\/YOUR_USER\/slsa-provenance-lab\n\ngo 1.22<\/code><\/pre>\nDockerfile<\/h4>\n
FROM golang:1.22-alpine AS builder\nWORKDIR \/app\nCOPY go.mod .\/\nCOPY main.go .\/\nRUN go build -o server .\n\nFROM alpine:3.19\nRUN apk --no-cache add ca-certificates\nCOPY --from=builder \/app\/server \/server\nENTRYPOINT [\"\/server\"]<\/code><\/pre>\nPaso 2 — Confirmar el Acceso a GHCR<\/h3>\n
echo $GITHUB_TOKEN | docker login ghcr.io -u YOUR_USER --password-stdin<\/code><\/pre>\nYOUR_USER<\/code> con su nombre de usuario de GitHub y GITHUB_TOKEN<\/code> con un token de acceso personal que tenga el alcance write:packages<\/code>.<\/p>\nPaso 3 — Workflow Base de Build-and-Push (Sin Provenance)<\/h3>\n
.github\/workflows\/build.yml<\/code> para verificar que la imagen se construye y publica correctamente antes de agregar provenance:<\/p>\nname: Build and Push (baseline)\n\non:\n push:\n tags:\n - \"v*\"\n\nenv:\n IMAGE: ghcr.io\/${{ github.repository_owner }}\/slsa-provenance-lab\n\njobs:\n build:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n steps:\n - uses: actions\/checkout@v4\n\n - uses: docker\/login-action@v3\n with:\n registry: ghcr.io\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - uses: docker\/build-push-action@v6\n with:\n context: .\n push: true\n tags: |\n ${{ env.IMAGE }}:${{ github.ref_name }}\n ${{ env.IMAGE }}:latest<\/code><\/pre>\ngit add -A\ngit commit -m \"baseline build workflow\"\ngit tag v0.1.0\ngit push origin main --tags<\/code><\/pre>\nghcr.io\/YOUR_USER\/slsa-provenance-lab:v0.1.0<\/code> antes de continuar.<\/p>\nEjercicio 1: Generar SLSA Provenance con slsa-github-generator<\/h2>\n
Por Qu\u00e9 slsa-github-generator Alcanza SLSA Level 3<\/h3>\n
slsa-github-generator<\/code> logra esto ejecut\u00e1ndose como un reusable workflow alojado en un repositorio separado<\/strong>. Dado que GitHub Actions a\u00edsla las ejecuciones de reusable workflows del workflow que los invoca, el paso de generaci\u00f3n de provenance est\u00e1 protegido contra manipulaciones — incluso un job de compilaci\u00f3n comprometido no puede alterar la salida del provenance.<\/p>\nEl Workflow<\/h3>\n
.github\/workflows\/slsa-provenance.yml<\/code>:<\/p>\nname: Build + SLSA Provenance (slsa-github-generator)\n\non:\n push:\n tags:\n - \"v*\"\n\nenv:\n IMAGE: ghcr.io\/${{ github.repository_owner }}\/slsa-provenance-lab\n\njobs:\n # --- Job 1: Build and push the container image ---\n build:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n outputs:\n image: ${{ env.IMAGE }}\n digest: ${{ steps.push.outputs.digest }}\n steps:\n - uses: actions\/checkout@v4\n\n - uses: docker\/login-action@v3\n with:\n registry: ghcr.io\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - id: push\n uses: docker\/build-push-action@v6\n with:\n context: .\n push: true\n tags: |\n ${{ env.IMAGE }}:${{ github.ref_name }}\n ${{ env.IMAGE }}:latest\n\n # --- Job 2: Generate SLSA Level 3 provenance ---\n provenance:\n needs: build\n permissions:\n actions: read\n id-token: write\n packages: write\n uses: slsa-framework\/slsa-github-generator\/.github\/workflows\/generator_container_slsa3.yml@v2.1.0\n with:\n image: ${{ needs.build.outputs.image }}\n digest: ${{ needs.build.outputs.digest }}\n secrets:\n registry-username: ${{ github.actor }}\n registry-password: ${{ secrets.GITHUB_TOKEN }}<\/code><\/pre>\nComprensi\u00f3n del Workflow<\/h3>\n
\n
slsa-framework\/slsa-github-generator<\/code> en un tag fijado (@v2.1.0<\/code>). Dado que este workflow se ejecuta en un entorno aislado controlado por los mantenedores del framework SLSA, cumple con el requisito de SLSA Level 3 de una plataforma de compilaci\u00f3n reforzada y no falsificable.<\/li>\nEjecutar el Workflow<\/h3>\n
git add .github\/workflows\/slsa-provenance.yml\ngit commit -m \"add SLSA provenance workflow\"\ngit tag v1.0.0\ngit push origin main --tags<\/code><\/pre>\nghcr.io\/YOUR_USER\/slsa-provenance-lab@sha256:<digest><\/code> ahora porta una attestation de provenance SLSA Level 3 firmada.<\/p>\nEjercicio 2: Generar Provenance con GitHub Artifact Attestations<\/h2>\n
El Enfoque Nativo de GitHub<\/h3>\n
actions\/attest-build-provenance<\/code>. Este enfoque es m\u00e1s sencillo de configurar y almacena las attestations en el almacenamiento de attestations propio de GitHub, haci\u00e9ndolas verificables con el CLI gh<\/code>. La contrapartida es que estas attestations siguen la ruta de verificaci\u00f3n propia de GitHub en lugar de las herramientas del framework SLSA.<\/p>\nEl Workflow<\/h3>\n
.github\/workflows\/github-attestation.yml<\/code>:<\/p>\nname: Build + GitHub Artifact Attestation\n\non:\n push:\n tags:\n - \"v*\"\n\nenv:\n IMAGE: ghcr.io\/${{ github.repository_owner }}\/slsa-provenance-lab\n\njobs:\n build-and-attest:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n attestations: write\n id-token: write\n steps:\n - uses: actions\/checkout@v4\n\n - uses: docker\/login-action@v3\n with:\n registry: ghcr.io\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - id: push\n uses: docker\/build-push-action@v6\n with:\n context: .\n push: true\n tags: |\n ${{ env.IMAGE }}:${{ github.ref_name }}\n ${{ env.IMAGE }}:latest\n\n - name: Generate artifact attestation\n uses: actions\/attest-build-provenance@v2\n with:\n subject-name: ${{ env.IMAGE }}\n subject-digest: ${{ steps.push.outputs.digest }}\n push-to-registry: true<\/code><\/pre>\nComparaci\u00f3n de los Dos Enfoques<\/h3>\n