Chaque image container produite par votre pipeline CI\/CD devrait \u00eatre sign\u00e9e cryptographiquement avant d’atteindre un quelconque environnement. Les images non sign\u00e9es constituent un angle mort \u2014 vous n’avez aucune preuve qu’elles proviennent de votre pipeline, aucune garantie qu’elles n’ont pas \u00e9t\u00e9 alt\u00e9r\u00e9es en transit, et aucun m\u00e9canisme de politique pour bloquer les d\u00e9ploiements non autoris\u00e9s.<\/p>\n
Dans ce lab pratique, vous allez :<\/p>\n
\u00c0 la fin de ce lab, vous disposerez d’un workflow GitHub Actions complet qui construit, pousse, signe et atteste chaque image \u2014 ainsi qu’une politique Kubernetes qui rejette tout ce qui n’est pas sign\u00e9.<\/p>\n
Avant de commencer, assurez-vous d’avoir les \u00e9l\u00e9ments suivants :<\/p>\n
# macOS (Homebrew)\nbrew install cosign\n\n# Ou installation depuis les sources avec Go\ngo install github.com\/sigstore\/cosign\/v2\/cmd\/cosign@latest\n\n# V\u00e9rifier l'installation\ncosign version<\/code><\/pre>\n\n- kubectl<\/strong> et Helm<\/strong> install\u00e9s (pour l’exercice Kyverno).<\/li>\n
- Syft<\/strong> install\u00e9 (pour l’exercice SBOM) :<\/li>\n<\/ul>\n
brew install syft<\/code><\/pre>\nVous aurez \u00e9galement besoin d’une application simple \u00e0 conteneuriser. Voici une application Go minimale et son Dockerfile que nous utiliserons tout au long du lab.<\/p>\n
main.go<\/strong><\/p>\npackage main\n\nimport (\n\t\"fmt\"\n\t\"net\/http\"\n)\n\nfunc main() {\n\thttp.HandleFunc(\"\/\", func(w http.ResponseWriter, r *http.Request) {\n\t\tfmt.Fprintf(w, \"Hello from a signed container!\")\n\t})\n\thttp.ListenAndServe(\":8080\", nil)\n}<\/code><\/pre>\nDockerfile<\/strong><\/p>\nFROM golang:1.22-alpine AS builder\nWORKDIR \/app\nCOPY main.go .\nRUN go build -o server main.go\n\nFROM alpine:3.19\nCOPY --from=builder \/app\/server \/server\nEXPOSE 8080\nENTRYPOINT [\"\/server\"]<\/code><\/pre>\nConfiguration de l’environnement<\/h2>\n
Commencez par cr\u00e9er un d\u00e9p\u00f4t de test et pousser le code de l’application.<\/p>\n
\u00c9tape 1 \u2014 Cr\u00e9er le d\u00e9p\u00f4t<\/h3>\n# Cr\u00e9er un nouveau r\u00e9pertoire et initialiser un d\u00e9p\u00f4t Git\nmkdir cosign-lab && cd cosign-lab\ngit init\n\n# Cr\u00e9er l'application Go et le Dockerfile \u00e0 partir des pr\u00e9requis ci-dessus\n# Puis pousser vers GitHub\ngit add .\ngit commit -m \"Initial commit: simple Go app\"\ngh repo create cosign-lab --public --source=. --push<\/code><\/pre>\n\u00c9tape 2 \u2014 Cr\u00e9er le workflow sans signature<\/h3>\n
Avant d’ajouter la signature, cr\u00e9ez un workflow de base qui ne fait que construire et pousser l’image. Cela vous donne un point de comparaison pour la suite.<\/p>\n
Cr\u00e9ez .github\/workflows\/build.yml<\/code> :<\/p>\nname: Build and Push (Unsigned)\n\non:\n push:\n tags:\n - 'v*'\n\nenv:\n REGISTRY: ghcr.io\n IMAGE_NAME: ${{ github.repository }}\n\njobs:\n build:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n\n steps:\n - name: Checkout code\n uses: actions\/checkout@v4\n\n - name: Log in to GHCR\n uses: docker\/login-action@v3\n with:\n registry: ${{ env.REGISTRY }}\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - name: Extract metadata\n id: meta\n uses: docker\/metadata-action@v5\n with:\n images: ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}\n\n - name: Build and push\n uses: docker\/build-push-action@v5\n with:\n context: .\n push: true\n tags: ${{ steps.meta.outputs.tags }}\n labels: ${{ steps.meta.outputs.labels }}<\/code><\/pre>\nCommittez et poussez ce workflow. Cr\u00e9ez un tag pour le d\u00e9clencher :<\/p>\n
git add .\ngit commit -m \"Add unsigned build workflow\"\ngit push origin main\ngit tag v0.1.0\ngit push origin v0.1.0<\/code><\/pre>\nUne fois le workflow termin\u00e9, votre image se trouve dans GHCR \u2014 mais elle ne porte aucune signature cryptographique. Quiconque dispose d’un acc\u00e8s en \u00e9criture au registre pourrait la remplacer, et rien en aval ne le remarquerait.<\/p>\n
Exercice 1 : Signature locale avec une paire de cl\u00e9s<\/h2>\n
Avant de passer \u00e0 la signature keyless en CI, il est utile de comprendre les fondamentaux en signant une image localement avec une paire de cl\u00e9s explicite.<\/p>\n
\u00c9tape 1 \u2014 G\u00e9n\u00e9rer une paire de cl\u00e9s Cosign<\/h3>\ncosign generate-key-pair<\/code><\/pre>\nCela cr\u00e9e deux fichiers dans votre r\u00e9pertoire courant :<\/p>\n
\ncosign.key<\/code> \u2014 la cl\u00e9 priv\u00e9e (chiffr\u00e9e avec une phrase secr\u00e8te de votre choix).<\/li>\ncosign.pub<\/code> \u2014 la cl\u00e9 publique que vous distribuez aux v\u00e9rificateurs.<\/li>\n<\/ul>\n\u00c9tape 2 \u2014 Construire, pousser et signer l’image<\/h3>\n# Construire l'image\ndocker build -t ghcr.io\/<your-username>\/cosign-lab:v1 .\n\n# Pousser vers GHCR\ndocker push ghcr.io\/<your-username>\/cosign-lab:v1\n\n# Signer l'image avec votre cl\u00e9 priv\u00e9e\ncosign sign --key cosign.key ghcr.io\/<your-username>\/cosign-lab:v1<\/code><\/pre>\nRemplacez <your-username><\/code> par votre nom d’utilisateur GitHub. Cosign vous demandera la phrase secr\u00e8te d\u00e9finie lors de la g\u00e9n\u00e9ration de la cl\u00e9.<\/p>\n\u00c9tape 3 \u2014 V\u00e9rifier la signature<\/h3>\ncosign verify --key cosign.pub ghcr.io\/<your-username>\/cosign-lab:v1<\/code><\/pre>\nVous devriez obtenir une sortie similaire \u00e0 :<\/p>\n
Verification for ghcr.io\/<your-username>\/cosign-lab:v1 --\nThe following checks were performed on each of these signatures:\n - The cosign claims were validated\n - The signatures were verified against the specified public key\n\n[{\"critical\":{\"identity\":{\"docker-reference\":\"ghcr.io\/<your-username>\/cosign-lab\"},\"image\":{\"docker-manifest-digest\":\"sha256:abc123...\"},\"type\":\"cosign container image signature\"},\"optional\":null}]<\/code><\/pre>\nO\u00f9 est stock\u00e9e la signature ?<\/h3>\n
Cosign stocke les signatures sous forme d’artefacts OCI dans le m\u00eame registre, \u00e0 c\u00f4t\u00e9 de l’image. Pour une image tagu\u00e9e sha256:abc123<\/code>, Cosign pousse la signature vers un tag d\u00e9riv\u00e9 de ce digest \u2014 sha256-abc123.sig<\/code>. Cela signifie :<\/p>\n\n- Aucune infrastructure de stockage de signatures s\u00e9par\u00e9e n’est n\u00e9cessaire.<\/li>\n
- Les signatures accompagnent l’image lorsque vous dupliquez ou r\u00e9pliquez des registres.<\/li>\n
- Les contr\u00f4les d’acc\u00e8s au registre s’appliquent aux signatures de la m\u00eame mani\u00e8re qu’aux images.<\/li>\n<\/ul>\n
La signature par paire de cl\u00e9s fonctionne, mais elle introduit une charge de gestion des cl\u00e9s : vous devez prot\u00e9ger la cl\u00e9 priv\u00e9e, la faire tourner p\u00e9riodiquement et distribuer la cl\u00e9 publique \u00e0 chaque v\u00e9rificateur. Dans l’exercice suivant, nous \u00e9liminons enti\u00e8rement cette charge avec la signature keyless.<\/p>\n
Exercice 2 : Signature keyless dans GitHub Actions<\/h2>\n
La signature keyless supprime la n\u00e9cessit\u00e9 de g\u00e9n\u00e9rer, stocker ou faire tourner des cl\u00e9s de signature. Elle repose \u00e0 la place sur des certificats \u00e0 dur\u00e9e de vie courte \u00e9mis par Fulcio<\/strong> et enregistr\u00e9s dans le journal de transparence Rekor<\/strong>.<\/p>\nComment fonctionne la signature keyless<\/h3>\n\n- Jeton OIDC<\/strong> \u2014 GitHub Actions \u00e9met un jeton d’identit\u00e9 OIDC qui prouve l’identit\u00e9 du workflow (d\u00e9p\u00f4t, fichier de workflow, r\u00e9f\u00e9rence, et plus encore).<\/li>\n
- Certificat Fulcio<\/strong> \u2014 Cosign envoie ce jeton OIDC \u00e0 Fulcio, qui \u00e9met un certificat de signature X.509 \u00e0 dur\u00e9e de vie courte li\u00e9 \u00e0 l’identit\u00e9 du workflow.<\/li>\n
- Signature<\/strong> \u2014 Cosign signe le digest de l’image avec la cl\u00e9 priv\u00e9e \u00e9ph\u00e9m\u00e8re correspondant au certificat Fulcio.<\/li>\n
- Journal de transparence Rekor<\/strong> \u2014 La signature et le certificat sont enregistr\u00e9s dans Rekor afin que quiconque puisse auditer quand et par qui une image a \u00e9t\u00e9 sign\u00e9e.<\/li>\n
- Destruction de la cl\u00e9<\/strong> \u2014 La cl\u00e9 priv\u00e9e \u00e9ph\u00e9m\u00e8re est imm\u00e9diatement d\u00e9truite. La v\u00e9rification utilise le certificat et l’entr\u00e9e Rekor, et non une cl\u00e9 publique \u00e0 longue dur\u00e9e de vie.<\/li>\n<\/ol>\n
\u00c9tape 1 \u2014 Cr\u00e9er le workflow de signature<\/h3>\n
Cr\u00e9ez .github\/workflows\/sign.yml<\/code> :<\/p>\nname: Build, Push, and Sign\n\non:\n push:\n tags:\n - 'v*'\n\nenv:\n REGISTRY: ghcr.io\n IMAGE_NAME: ${{ github.repository }}\n\njobs:\n build-and-sign:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n id-token: write # Required for keyless signing via OIDC\n\n steps:\n - name: Checkout code\n uses: actions\/checkout@v4\n\n - name: Install Cosign\n uses: sigstore\/cosign-installer@v3\n\n - name: Log in to GHCR\n uses: docker\/login-action@v3\n with:\n registry: ${{ env.REGISTRY }}\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - name: Extract metadata\n id: meta\n uses: docker\/metadata-action@v5\n with:\n images: ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}\n\n - name: Build and push\n id: build\n uses: docker\/build-push-action@v5\n with:\n context: .\n push: true\n tags: ${{ steps.meta.outputs.tags }}\n labels: ${{ steps.meta.outputs.labels }}\n\n - name: Sign the image\n run: |\n cosign sign --yes \\\n ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}@${{ steps.build.outputs.digest }}<\/code><\/pre>\nD\u00e9tails importants de ce workflow<\/h3>\n\nid-token: write<\/code> \u2014 cette permission autorise le runner \u00e0 demander un jeton OIDC \u00e0 GitHub, que Fulcio utilise pour \u00e9mettre le certificat de signature.<\/li>\npackages: write<\/code> \u2014 n\u00e9cessaire pour pousser l’image et sa signature vers GHCR.<\/li>\ncosign sign --yes<\/code> \u2014 le flag --yes<\/code> confirme le mode non interactif (pas d’invite pour le consentement keyless). L’absence de flag --key<\/code> signifie que Cosign utilise automatiquement la signature keyless.<\/li>\n- Nous signons par digest (
@sha256:...<\/code>) plut\u00f4t que par tag pour garantir que nous signons exactement l’image que nous venons de construire.<\/li>\n<\/ul>\n\u00c9tape 2 \u2014 Pousser et d\u00e9clencher le workflow<\/h3>\ngit add .github\/workflows\/sign.yml\ngit commit -m \"Add keyless signing workflow\"\ngit push origin main\ngit tag v1.0.0\ngit push origin v1.0.0<\/code><\/pre>\n\u00c9tape 3 \u2014 Examiner les logs Actions<\/h3>\n
Dans l’\u00e9tape \u00ab Sign the image \u00bb, vous verrez une sortie similaire \u00e0 :<\/p>\n
Generating ephemeral keys...\nRetrieving signed certificate...\n\n The sigstore community wants to hear from you! Connect with us at\n https:\/\/links.sigstore.dev\/slack-invite\n\nSuccessfully verified SCT...\ntlog entry created with index: 45678901\nPushing signature to: ghcr.io\/<your-username>\/cosign-lab:sha256-a1b2c3d4.sig<\/code><\/pre>\nL’image est d\u00e9sormais sign\u00e9e avec un certificat qui la lie cryptographiquement \u00e0 l’identit\u00e9 de votre workflow GitHub Actions. La signature et le certificat sont enregistr\u00e9s de mani\u00e8re permanente dans le journal de transparence Rekor.<\/p>\n
Exercice 3 : V\u00e9rification locale des signatures<\/h2>\n
La v\u00e9rification d’une image sign\u00e9e en mode keyless n\u00e9cessite deux informations : l’identit\u00e9 du certificat<\/strong> (qui a sign\u00e9) et l’\u00e9metteur OIDC<\/strong> (qui a attest\u00e9 cette identit\u00e9).<\/p>\n\u00c9tape 1 \u2014 V\u00e9rifier l’image sign\u00e9e<\/h3>\ncosign verify \\\n --certificate-identity \"https:\/\/github.com\/<your-username>\/cosign-lab\/.github\/workflows\/sign.yml@refs\/tags\/v1.0.0\" \\\n --certificate-oidc-issuer \"https:\/\/token.actions.githubusercontent.com\" \\\n ghcr.io\/<your-username>\/cosign-lab:v1.0.0<\/code><\/pre>\nSortie en cas de succ\u00e8s :<\/p>\n
Verification for ghcr.io\/<your-username>\/cosign-lab:v1.0.0 --\nThe following checks were performed on each of these signatures:\n - The cosign claims were validated\n - Existence of the claims in the transparency log was verified offline\n - The code-signing certificate was verified using trusted certificate authority\n - The signatures were verified against the specified public key\n - The signature was verified against a valid Fulcio certificate\n\n[{\"critical\":{\"identity\":{\"docker-reference\":\"ghcr.io\/<your-username>\/cosign-lab\"},\"image\":{\"docker-manifest-digest\":\"sha256:a1b2c3d4...\"},\"type\":\"cosign container image signature\"},\"optional\":{...}}]<\/code><\/pre>\n\u00c9tape 2 \u2014 V\u00e9rifier avec une identit\u00e9 incorrecte (\u00e9chec attendu)<\/h3>\ncosign verify \\\n --certificate-identity \"https:\/\/github.com\/attacker\/malicious-repo\/.github\/workflows\/build.yml@refs\/tags\/v1.0.0\" \\\n --certificate-oidc-issuer \"https:\/\/token.actions.githubusercontent.com\" \\\n ghcr.io\/<your-username>\/cosign-lab:v1.0.0<\/code><\/pre>\nSortie :<\/p>\n
Error: no matching signatures:\nnone of the expected identities matched what was in the certificate<\/code><\/pre>\nCela confirme que les signatures sont li\u00e9es \u00e0 l’identit\u00e9. M\u00eame si quelqu’un parvient \u00e0 pousser une signature, elle ne passera pas la v\u00e9rification \u00e0 moins d’avoir \u00e9t\u00e9 sign\u00e9e par le workflow exact que vous sp\u00e9cifiez.<\/p>\n
\u00c9tape 3 \u2014 V\u00e9rifier une image non sign\u00e9e (\u00e9chec attendu)<\/h3>\ncosign verify \\\n --certificate-identity \"https:\/\/github.com\/<your-username>\/cosign-lab\/.github\/workflows\/sign.yml@refs\/tags\/v0.1.0\" \\\n --certificate-oidc-issuer \"https:\/\/token.actions.githubusercontent.com\" \\\n ghcr.io\/<your-username>\/cosign-lab:v0.1.0<\/code><\/pre>\nSortie :<\/p>\n
Error: no matching signatures\nno signatures found for image<\/code><\/pre>\nL’image v0.1.0 a \u00e9t\u00e9 construite avec le workflow sans signature de la section Configuration de l’environnement, donc aucune signature n’existe.<\/p>\n
Comprendre les champs du certificat<\/h3>\n
Lorsque vous v\u00e9rifiez une signature keyless, Cosign v\u00e9rifie plusieurs champs int\u00e9gr\u00e9s dans le certificat Fulcio :<\/p>\n
\n- \u00c9metteur<\/strong> (
certificate-oidc-issuer<\/code>) \u2014 le fournisseur OIDC qui a authentifi\u00e9 le signataire. Pour GitHub Actions, c’est toujours https:\/\/token.actions.githubusercontent.com<\/code>.<\/li>\n- Sujet \/ Identit\u00e9<\/strong> (
certificate-identity<\/code>) \u2014 la r\u00e9f\u00e9rence compl\u00e8te du workflow incluant le d\u00e9p\u00f4t, le chemin du fichier de workflow et la r\u00e9f\u00e9rence Git. Cela lie la signature \u00e0 un workflow sp\u00e9cifique \u00e0 un commit ou tag sp\u00e9cifique.<\/li>\n- Extensions GitHub Workflow<\/strong> \u2014 le certificat contient \u00e9galement des extensions OID personnalis\u00e9es pour le d\u00e9p\u00f4t, le SHA du workflow, l’\u00e9v\u00e9nement d\u00e9clencheur et l’environnement du runner. Celles-ci permettent des politiques de v\u00e9rification granulaires.<\/li>\n<\/ul>\n
Vous pouvez \u00e9galement utiliser la correspondance par expression r\u00e9guli\u00e8re pour des politiques plus flexibles :<\/p>\n
cosign verify \\\n --certificate-identity-regexp \"https:\/\/github.com\/<your-username>\/cosign-lab\/.*\" \\\n --certificate-oidc-issuer \"https:\/\/token.actions.githubusercontent.com\" \\\n ghcr.io\/<your-username>\/cosign-lab:v1.0.0<\/code><\/pre>\nC’est utile lorsque vous souhaitez accepter les signatures de n’importe quel workflow d’un d\u00e9p\u00f4t, ou de n’importe quel tag.<\/p>\n
Exercice 4 : V\u00e9rification dans Kubernetes avec Kyverno<\/h2>\n
La v\u00e9rification locale est utile pour le d\u00e9bogage, mais les clusters de production ont besoin d’une application automatis\u00e9e. Kyverno est un contr\u00f4leur d’admission Kubernetes qui peut v\u00e9rifier les signatures Cosign \u00e0 chaque requ\u00eate d’admission de pod.<\/p>\n
\u00c9tape 1 \u2014 Installer Kyverno<\/h3>\nhelm repo add kyverno https:\/\/kyverno.github.io\/kyverno\/\nhelm repo update\nhelm install kyverno kyverno\/kyverno -n kyverno --create-namespace<\/code><\/pre>\nAttendez que les pods Kyverno soient pr\u00eats :<\/p>\n
kubectl wait --for=condition=ready pod -l app.kubernetes.io\/instance=kyverno -n kyverno --timeout=120s<\/code><\/pre>\n\u00c9tape 2 \u2014 Cr\u00e9er la politique de v\u00e9rification d’images<\/h3>\n
Enregistrez le contenu suivant sous le nom require-signed-images.yml<\/code> :<\/p>\napiVersion: kyverno.io\/v1\nkind: ClusterPolicy\nmetadata:\n name: require-cosign-signature\nspec:\n validationFailureAction: Enforce\n background: false\n rules:\n - name: verify-cosign-signature\n match:\n any:\n - resources:\n kinds:\n - Pod\n verifyImages:\n - imageReferences:\n - \"ghcr.io\/<your-username>\/cosign-lab:*\"\n attestors:\n - entries:\n - keyless:\n subject: \"https:\/\/github.com\/<your-username>\/cosign-lab\/.github\/workflows\/sign.yml@refs\/tags\/*\"\n issuer: \"https:\/\/token.actions.githubusercontent.com\"\n rekor:\n url: \"https:\/\/rekor.sigstore.dev\"<\/code><\/pre>\nAppliquez la politique :<\/p>\n
kubectl apply -f require-signed-images.yml<\/code><\/pre>\n\u00c9tape 3 \u2014 Tester avec une image sign\u00e9e (devrait r\u00e9ussir)<\/h3>\nkubectl run signed-app \\\n --image=ghcr.io\/<your-username>\/cosign-lab:v1.0.0 \\\n --restart=Never<\/code><\/pre>\nSortie attendue :<\/p>\n
pod\/signed-app created<\/code><\/pre>\n\u00c9tape 4 \u2014 Tester avec une image non sign\u00e9e (devrait \u00e9chouer)<\/h3>\nkubectl run unsigned-app \\\n --image=ghcr.io\/<your-username>\/cosign-lab:v0.1.0 \\\n --restart=Never<\/code><\/pre>\nSortie attendue :<\/p>\n
Error from server: admission webhook \"mutate.kyverno.svc-fail\" denied the request:\nresource Pod\/default\/unsigned-app was blocked due to the following policies:\n\nrequire-cosign-signature:\n verify-cosign-signature: |\n image verification failed for ghcr.io\/<your-username>\/cosign-lab:v0.1.0:\n no matching signatures found<\/code><\/pre>\nC’est exactement la boucle d’application que vous souhaitez : seules les images sign\u00e9es par votre workflow GitHub Actions de confiance sont autoris\u00e9es dans le cluster.<\/p>\n
Exercice 5 : Attacher un SBOM<\/h2>\n
Une signature prouve qui a construit l’image. Une attestation SBOM prouve ce qu’elle contient. La combinaison des deux vous donne une cha\u00eene de confiance compl\u00e8te : identit\u00e9, int\u00e9grit\u00e9 et transparence du contenu.<\/p>\n
\u00c9tape 1 \u2014 G\u00e9n\u00e9rer le SBOM avec Syft<\/h3>\nsyft ghcr.io\/<your-username>\/cosign-lab:v1.0.0 -o spdx-json > sbom.spdx.json<\/code><\/pre>\nCela analyse les couches de l’image et produit un document JSON au format SPDX listant chaque paquet, biblioth\u00e8que et d\u00e9pendance \u00e0 l’int\u00e9rieur de l’image.<\/p>\n
\u00c9tape 2 \u2014 Attacher le SBOM en tant qu’attestation<\/h3>\ncosign attest \\\n --predicate sbom.spdx.json \\\n --type spdxjson \\\n --yes \\\n ghcr.io\/<your-username>\/cosign-lab:v1.0.0<\/code><\/pre>\nComme pour la signature keyless, cela utilise l’identit\u00e9 bas\u00e9e sur OIDC lorsque c’est ex\u00e9cut\u00e9 dans GitHub Actions ou demande une authentification interactive en local. L’attestation est stock\u00e9e en tant qu’artefact OCI \u00e0 c\u00f4t\u00e9 de l’image.<\/p>\n
\u00c9tape 3 \u2014 V\u00e9rifier l’attestation<\/h3>\ncosign verify-attestation \\\n --type spdxjson \\\n --certificate-identity \"https:\/\/github.com\/<your-username>\/cosign-lab\/.github\/workflows\/sign.yml@refs\/tags\/v1.0.0\" \\\n --certificate-oidc-issuer \"https:\/\/token.actions.githubusercontent.com\" \\\n ghcr.io\/<your-username>\/cosign-lab:v1.0.0<\/code><\/pre>\nLa v\u00e9rification r\u00e9ussie confirme que le SBOM a \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9 et attach\u00e9 par votre workflow de confiance, et qu’il n’a pas \u00e9t\u00e9 alt\u00e9r\u00e9 depuis.<\/p>\n
Le pipeline de signature complet<\/h2>\n
Voici le workflow final qui combine tout : construction, push, signature, g\u00e9n\u00e9ration d’un SBOM et attestation. Enregistrez-le sous .github\/workflows\/sign-and-attest.yml<\/code> :<\/p>\nname: Build, Sign, and Attest\n\non:\n push:\n tags:\n - 'v*'\n\nenv:\n REGISTRY: ghcr.io\n IMAGE_NAME: ${{ github.repository }}\n\njobs:\n build-sign-attest:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n id-token: write\n\n steps:\n - name: Checkout code\n uses: actions\/checkout@v4\n\n - name: Install Cosign\n uses: sigstore\/cosign-installer@v3\n\n - name: Install Syft\n uses: anchore\/sbom-action\/download-syft@v0\n\n - name: Log in to GHCR\n uses: docker\/login-action@v3\n with:\n registry: ${{ env.REGISTRY }}\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - name: Extract metadata\n id: meta\n uses: docker\/metadata-action@v5\n with:\n images: ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}\n\n - name: Build and push\n id: build\n uses: docker\/build-push-action@v5\n with:\n context: .\n push: true\n tags: ${{ steps.meta.outputs.tags }}\n labels: ${{ steps.meta.outputs.labels }}\n\n - name: Sign the image\n run: |\n cosign sign --yes \\\n ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}@${{ steps.build.outputs.digest }}\n\n - name: Generate SBOM\n run: |\n syft ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}@${{ steps.build.outputs.digest }} \\\n -o spdx-json > sbom.spdx.json\n\n - name: Attest SBOM\n run: |\n cosign attest --yes \\\n --predicate sbom.spdx.json \\\n --type spdxjson \\\n ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}@${{ steps.build.outputs.digest }}\n\n - name: Verify signature\n run: |\n cosign verify \\\n --certificate-identity-regexp \"https:\/\/github.com\/${{ github.repository }}\/.*\" \\\n --certificate-oidc-issuer \"https:\/\/token.actions.githubusercontent.com\" \\\n ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}@${{ steps.build.outputs.digest }}\n\n - name: Verify SBOM attestation\n run: |\n cosign verify-attestation \\\n --type spdxjson \\\n --certificate-identity-regexp \"https:\/\/github.com\/${{ github.repository }}\/.*\" \\\n --certificate-oidc-issuer \"https:\/\/token.actions.githubusercontent.com\" \\\n ${{ env.REGISTRY }}\/${{ env.IMAGE_NAME }}@${{ steps.build.outputs.digest }}<\/code><\/pre>\nCe workflow vous offre une cha\u00eene de confiance compl\u00e8te pour chaque release tagu\u00e9e : l’image est sign\u00e9e, son contenu est document\u00e9 dans un SBOM, et le SBOM est attest\u00e9 cryptographiquement \u2014 le tout sans g\u00e9rer une seule cl\u00e9 \u00e0 longue dur\u00e9e de vie.<\/p>\n
Nettoyage<\/h2>\n
Lorsque vous avez termin\u00e9 le lab, nettoyez les ressources que vous avez cr\u00e9\u00e9es.<\/p>\n
Supprimer les images de test de GHCR<\/h3>\n
Naviguez vers https:\/\/github.com\/<your-username>?tab=packages<\/code> et supprimez le paquet cosign-lab<\/code>, ou utilisez le CLI GitHub :<\/p>\n# Lister les versions du paquet\ngh api user\/packages\/container\/cosign-lab\/versions | jq '.[].id'\n\n# Supprimer chaque version\ngh api --method DELETE user\/packages\/container\/cosign-lab\/versions\/<version-id><\/code><\/pre>\nSupprimer Kyverno<\/h3>\nkubectl delete clusterpolicy require-cosign-signature\nhelm uninstall kyverno -n kyverno\nkubectl delete namespace kyverno<\/code><\/pre>\nSupprimer le d\u00e9p\u00f4t de test<\/h3>\ngh repo delete <your-username>\/cosign-lab --yes<\/code><\/pre>\nSupprimer les fichiers locaux<\/h3>\ncd .. && rm -rf cosign-lab\nrm -f cosign.key cosign.pub<\/code><\/pre>\nPoints cl\u00e9s \u00e0 retenir<\/h2>\n\n- La signature keyless \u00e9limine la gestion des cl\u00e9s.<\/strong> En utilisant les jetons d’identit\u00e9 OIDC de GitHub Actions et les certificats Fulcio \u00e0 dur\u00e9e de vie courte, vous \u00e9vitez la charge op\u00e9rationnelle de g\u00e9n\u00e9ration, stockage, rotation et distribution des cl\u00e9s de signature.<\/li>\n
- Les signatures sont li\u00e9es \u00e0 l’identit\u00e9, pas \u00e0 une cl\u00e9.<\/strong> La v\u00e9rification contr\u00f4le qui a sign\u00e9 l’image (quel workflow, dans quel d\u00e9p\u00f4t, \u00e0 quelle r\u00e9f\u00e9rence) plut\u00f4t que quelle cl\u00e9 a \u00e9t\u00e9 utilis\u00e9e. Cela rend les politiques plus intuitives et auditables.<\/li>\n
- Le journal de transparence Rekor fournit une piste d’audit inviolable.<\/strong> Chaque signature est enregistr\u00e9e publiquement, de sorte que vous pouvez prouver quand une image a \u00e9t\u00e9 sign\u00e9e et d\u00e9tecter toute tentative d’antidater ou de supprimer des signatures.<\/li>\n
- Les contr\u00f4leurs d’admission appliquent les politiques de signature au moment du d\u00e9ploiement.<\/strong> Kyverno (ou des alternatives comme Connaisseur ou Sigstore Policy Controller) garantit que les images non sign\u00e9es ou incorrectement sign\u00e9es ne s’ex\u00e9cutent jamais dans votre cluster.<\/li>\n
- Les attestations SBOM \u00e9tendent la cha\u00eene de confiance.<\/strong> La signature prouve qui a construit l’image ; l’attachement d’un SBOM sign\u00e9 prouve ce qu’elle contient. Ensemble, ils fournissent une provenance compl\u00e8te de la source \u00e0 l’ex\u00e9cution.<\/li>\n
- Signez par digest, pas par tag.<\/strong> Les tags sont mutables \u2014 quelqu’un peut d\u00e9placer un tag vers une image diff\u00e9rente. Les digests sont des adresses de contenu immuables, donc signer par digest garantit que vous avez sign\u00e9 exactement l’image que vous avez construite.<\/li>\n<\/ul>\n
Prochaines \u00e9tapes<\/h2>\n
Continuez \u00e0 d\u00e9velopper vos connaissances en s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement avec ces guides connexes :<\/p>\n
\n- Signature et v\u00e9rification d’images container avec Sigstore et Cosign<\/a> \u2014 un guide complet couvrant l’architecture de Cosign, les mod\u00e8les de v\u00e9rification avanc\u00e9s et l’int\u00e9gration avec diff\u00e9rents registres et syst\u00e8mes CI.<\/li>\n
- Provenance des artefacts et attestations : de SLSA \u00e0 in-toto<\/a> \u2014 comprendre l’\u00e9cosyst\u00e8me de provenance plus large, y compris les niveaux SLSA, les layouts in-toto, et comment les attestations s’int\u00e8grent dans une strat\u00e9gie compl\u00e8te de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Pr\u00e9sentation Chaque image container produite par votre pipeline CI\/CD devrait \u00eatre sign\u00e9e cryptographiquement avant d’atteindre un quelconque environnement. Les images non sign\u00e9es constituent un angle mort \u2014 vous n’avez aucune preuve qu’elles proviennent de votre pipeline, aucune garantie qu’elles n’ont pas \u00e9t\u00e9 alt\u00e9r\u00e9es en transit, et aucun m\u00e9canisme de politique pour bloquer les d\u00e9ploiements non … Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[49,52,50],"tags":[],"post_folder":[],"class_list":["post-518","post","type-post","status-publish","format-standard","hentry","category-ci-cd-security","category-github-actions","category-software-supply-chain"],"_links":{"self":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts\/518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/comments?post=518"}],"version-history":[{"count":2,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts\/518\/revisions"}],"predecessor-version":[{"id":575,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts\/518\/revisions\/575"}],"wp:attachment":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/media?parent=518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/categories?post=518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/tags?post=518"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/post_folder?post=518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}