Attestation & Vérification

Cette page explique comment vérifier l’authenticité du conteneur et inspecter son Software Bill of Materials (SBOM).

Vérification de la Signature du Conteneur

Pour vérifier cryptographiquement que l’image du conteneur a été signée par notre pipeline CI/CD :

cosign verify subnoto/api-proxy:v0.1.0 \
  --certificate-identity https://gitlab.com/subnoto/confidential-monorepo//.gitlab-ci.yml@refs/tags/v0.1.0 \
  --certificate-oidc-issuer https://gitlab.com | jq

Cela vérifie la signature de l’image du conteneur et affiche le payload de la signature au format JSON.

Vérification des Attestations

Pour vérifier l’attestation SBOM attachée au conteneur :

cosign verify-attestation subnoto/api-proxy:v0.1.0 \
  --certificate-identity https://gitlab.com/subnoto/confidential-monorepo//.gitlab-ci.yml@refs/tags/v0.1.0 \
  --certificate-oidc-issuer https://gitlab.com \
  --type=spdxjson

Remplacez v0.1.0 par la version spécifique que vous souhaitez vérifier.

Notes importantes :

Le --certificate-identity doit correspondre exactement au chemin du fichier GitLab CI et à la référence du tag
Pour différentes versions, mettez à jour à la fois le tag de l’image et le tag de l’identité du certificat
Seules les versions taguées sont publiées sur DockerHub
La vérification nécessite l’outil cosign (installez depuis sigstore.dev)

Inspection du SBOM

Pour télécharger et inspecter l’attestation SBOM (Software Bill of Materials) :

cosign download attestation subnoto/api-proxy:latest | \
  jq -r .payload | \
  base64 -d | \
  jq '.predicate | fromjson'

Cette commande :

Télécharge l’attestation depuis le registre de conteneurs
Extrait le champ payload
Décode le contenu encodé en base64
Analyse le JSON du prédicat doublement encodé

La sortie affichera un SBOM SPDX complet listant tous les packages et dépendances dans le conteneur.

Étapes Suivantes

Une fois que vous avez vérifié le conteneur, consultez le Guide d’utilisation pour apprendre à exécuter et utiliser le conteneur.