La provenance SLSA (Supply-chain Levels for Software Artifacts) est un enregistrement v\u00e9rifiable qui d\u00e9crit comment<\/em> un artefact a \u00e9t\u00e9 construit : le d\u00e9p\u00f4t source, la plateforme de build, le point d’entr\u00e9e et les mat\u00e9riaux d’entr\u00e9e. Lorsqu’elle est associ\u00e9e \u00e0 une image container, la provenance permet aux consommateurs de r\u00e9pondre \u00e0 une question critique avant le d\u00e9ploiement : \u00ab Cette image a-t-elle r\u00e9ellement \u00e9t\u00e9 construite \u00e0 partir du source que j’attends, sur une plateforme en laquelle j’ai confiance ? \u00bb<\/strong><\/p>\n Dans ce lab pratique, vous allez :<\/p>\n \u00c0 la fin de ce lab, vous disposerez d’un pipeline complet et reproductible qui prouve l’int\u00e9grit\u00e9 de chaque image container que vous livrez.<\/p>\n Avant de commencer, assurez-vous de disposer des \u00e9l\u00e9ments suivants :<\/p>\n Cr\u00e9ez un nouveau d\u00e9p\u00f4t GitHub appel\u00e9 Authentifiez Docker aupr\u00e8s de GHCR afin de pouvoir pousser des images :<\/p>\n Remplacez Cr\u00e9ez Poussez un tag de test pour v\u00e9rifier :<\/p>\n Confirmez que l’image appara\u00eet \u00e0 La propri\u00e9t\u00e9 cl\u00e9 du SLSA Build Level 3 est que la provenance est g\u00e9n\u00e9r\u00e9e par une plateforme de build que le d\u00e9veloppeur ne peut pas<\/strong> influencer. Le Cr\u00e9ez Dans l’onglet Actions, vous verrez deux jobs : build<\/strong> et provenance<\/strong>. Le job provenance g\u00e9n\u00e8re une attestation in-toto, la signe via Sigstore et pousse l’attestation vers GHCR aux c\u00f4t\u00e9s de l’image. Lorsque les deux jobs r\u00e9ussissent, votre image \u00e0 GitHub fournit un m\u00e9canisme int\u00e9gr\u00e9 pour g\u00e9n\u00e9rer la provenance de build via l’action Cr\u00e9ez \n
slsa-github-generator<\/code>.<\/li>\nactions\/attest-build-provenance<\/code>).<\/li>\nslsa-verifier<\/code>, cosign<\/code> et gh attestation verify<\/code>.<\/li>\nPr\u00e9requis<\/h2>\n
\n
ghcr.io<\/code> par d\u00e9faut ; confirmez en naviguant vers Settings → Packages<\/em>.<\/li>\n# macOS\nbrew install cosign\n\n# Linux \/ other\ngo install github.com\/sigstore\/cosign\/v2\/cmd\/cosign@latest<\/code><\/pre>\n<\/li>\ngo install github.com\/slsa-framework\/slsa-verifier\/v2\/cli\/slsa-verifier@latest<\/code><\/pre>\n<\/li>\ngh<\/code>) version 2.49 ou ult\u00e9rieure (pour les commandes gh attestation<\/code>).<\/li>\nMise en Place de l’Environnement<\/h2>\n
\u00c9tape 1 — Cr\u00e9er le D\u00e9p\u00f4t de Test<\/h3>\n
slsa-provenance-lab<\/code>. Clonez-le localement et ajoutez les fichiers suivants.<\/p>\nmain.go<\/h4>\n
package main\n\nimport (\n\t\"fmt\"\n\t\"net\/http\"\n)\n\nfunc main() {\n\thttp.HandleFunc(\"\/\", func(w http.ResponseWriter, r *http.Request) {\n\t\tfmt.Fprintf(w, \"Hello from SLSA provenance lab!\")\n\t})\n\tfmt.Println(\"Server starting on :8080\")\n\thttp.ListenAndServe(\":8080\", nil)\n}<\/code><\/pre>\ngo.mod<\/h4>\n
module github.com\/YOUR_USER\/slsa-provenance-lab\n\ngo 1.22<\/code><\/pre>\nDockerfile<\/h4>\n
FROM golang:1.22-alpine AS builder\nWORKDIR \/app\nCOPY go.mod .\/\nCOPY main.go .\/\nRUN go build -o server .\n\nFROM alpine:3.19\nRUN apk --no-cache add ca-certificates\nCOPY --from=builder \/app\/server \/server\nENTRYPOINT [\"\/server\"]<\/code><\/pre>\n\u00c9tape 2 — Confirmer l’Acc\u00e8s GHCR<\/h3>\n
echo $GITHUB_TOKEN | docker login ghcr.io -u YOUR_USER --password-stdin<\/code><\/pre>\nYOUR_USER<\/code> par votre nom d’utilisateur GitHub et GITHUB_TOKEN<\/code> par un jeton d’acc\u00e8s personnel disposant du scope write:packages<\/code>.<\/p>\n\u00c9tape 3 — Workflow de Base Build-and-Push (Sans Provenance)<\/h3>\n
.github\/workflows\/build.yml<\/code> pour v\u00e9rifier que l’image se construit et se pousse correctement avant d’ajouter la provenance :<\/p>\nname: Build and Push (baseline)\n\non:\n push:\n tags:\n - \"v*\"\n\nenv:\n IMAGE: ghcr.io\/${{ github.repository_owner }}\/slsa-provenance-lab\n\njobs:\n build:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n steps:\n - uses: actions\/checkout@v4\n\n - uses: docker\/login-action@v3\n with:\n registry: ghcr.io\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - uses: docker\/build-push-action@v6\n with:\n context: .\n push: true\n tags: |\n ${{ env.IMAGE }}:${{ github.ref_name }}\n ${{ env.IMAGE }}:latest<\/code><\/pre>\ngit add -A\ngit commit -m \"baseline build workflow\"\ngit tag v0.1.0\ngit push origin main --tags<\/code><\/pre>\nghcr.io\/YOUR_USER\/slsa-provenance-lab:v0.1.0<\/code> avant de continuer.<\/p>\nExercice 1 : G\u00e9n\u00e9rer la Provenance SLSA avec slsa-github-generator<\/h2>\n
Pourquoi slsa-github-generator Atteint le SLSA Level 3<\/h3>\n
slsa-github-generator<\/code> y parvient en s’ex\u00e9cutant comme un workflow r\u00e9utilisable h\u00e9berg\u00e9 dans un d\u00e9p\u00f4t s\u00e9par\u00e9<\/strong>. Comme GitHub Actions isole les ex\u00e9cutions de workflows r\u00e9utilisables du workflow appelant, l’\u00e9tape de g\u00e9n\u00e9ration de provenance est prot\u00e9g\u00e9e contre la falsification — m\u00eame un job de build compromis ne peut pas alt\u00e9rer la sortie de provenance.<\/p>\nLe Workflow<\/h3>\n
.github\/workflows\/slsa-provenance.yml<\/code> :<\/p>\nname: Build + SLSA Provenance (slsa-github-generator)\n\non:\n push:\n tags:\n - \"v*\"\n\nenv:\n IMAGE: ghcr.io\/${{ github.repository_owner }}\/slsa-provenance-lab\n\njobs:\n # --- Job 1: Build and push the container image ---\n build:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n outputs:\n image: ${{ env.IMAGE }}\n digest: ${{ steps.push.outputs.digest }}\n steps:\n - uses: actions\/checkout@v4\n\n - uses: docker\/login-action@v3\n with:\n registry: ghcr.io\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - id: push\n uses: docker\/build-push-action@v6\n with:\n context: .\n push: true\n tags: |\n ${{ env.IMAGE }}:${{ github.ref_name }}\n ${{ env.IMAGE }}:latest\n\n # --- Job 2: Generate SLSA Level 3 provenance ---\n provenance:\n needs: build\n permissions:\n actions: read\n id-token: write\n packages: write\n uses: slsa-framework\/slsa-github-generator\/.github\/workflows\/generator_container_slsa3.yml@v2.1.0\n with:\n image: ${{ needs.build.outputs.image }}\n digest: ${{ needs.build.outputs.digest }}\n secrets:\n registry-username: ${{ github.actor }}\n registry-password: ${{ secrets.GITHUB_TOKEN }}<\/code><\/pre>\nComprendre le Workflow<\/h3>\n
\n
slsa-framework\/slsa-github-generator<\/code> \u00e0 un tag \u00e9pingl\u00e9 (@v2.1.0<\/code>). Comme ce workflow s’ex\u00e9cute dans un environnement isol\u00e9 contr\u00f4l\u00e9 par les mainteneurs du framework SLSA, il satisfait l’exigence SLSA Level 3 d’une plateforme de build renforc\u00e9e et non falsifiable.<\/li>\nD\u00e9clencher le Workflow<\/h3>\n
git add .github\/workflows\/slsa-provenance.yml\ngit commit -m \"add SLSA provenance workflow\"\ngit tag v1.0.0\ngit push origin main --tags<\/code><\/pre>\nghcr.io\/YOUR_USER\/slsa-provenance-lab@sha256:<digest><\/code> porte d\u00e9sormais une attestation de provenance SLSA Level 3 sign\u00e9e.<\/p>\nExercice 2 : G\u00e9n\u00e9rer la Provenance avec les GitHub Artifact Attestations<\/h2>\n
L’Approche Native de GitHub<\/h3>\n
actions\/attest-build-provenance<\/code>. Cette approche est plus simple \u00e0 configurer et stocke les attestations dans le stockage d’attestations propre \u00e0 GitHub, les rendant v\u00e9rifiables avec le CLI gh<\/code>. Le compromis est que ces attestations suivent le chemin de v\u00e9rification propre \u00e0 GitHub plut\u00f4t que l’outillage du framework SLSA.<\/p>\nLe Workflow<\/h3>\n
.github\/workflows\/github-attestation.yml<\/code> :<\/p>\nname: Build + GitHub Artifact Attestation\n\non:\n push:\n tags:\n - \"v*\"\n\nenv:\n IMAGE: ghcr.io\/${{ github.repository_owner }}\/slsa-provenance-lab\n\njobs:\n build-and-attest:\n runs-on: ubuntu-latest\n permissions:\n contents: read\n packages: write\n attestations: write\n id-token: write\n steps:\n - uses: actions\/checkout@v4\n\n - uses: docker\/login-action@v3\n with:\n registry: ghcr.io\n username: ${{ github.actor }}\n password: ${{ secrets.GITHUB_TOKEN }}\n\n - id: push\n uses: docker\/build-push-action@v6\n with:\n context: .\n push: true\n tags: |\n ${{ env.IMAGE }}:${{ github.ref_name }}\n ${{ env.IMAGE }}:latest\n\n - name: Generate artifact attestation\n uses: actions\/attest-build-provenance@v2\n with:\n subject-name: ${{ env.IMAGE }}\n subject-digest: ${{ steps.push.outputs.digest }}\n push-to-registry: true<\/code><\/pre>\nComparaison des Deux Approches<\/h3>\n