Sigstore를 사용하여 키 없는 서명 및 검증 사용하기

Tier: Free, Premium, Ultimate Offering: GitLab.com

Sigstore 프로젝트는 GitLab CI/CD로 빌드된 컨테이너 이미지의 키 없는 서명에 사용할 수 있는 Cosign이라는 CLI를 제공합니다. 키 없는 서명에는 개인 키를 관리, 보호 및 회전할 필요가 없다는 등 많은 장점이 있습니다. Cosign은 서명에 사용할 단명한 키 쌍을 요청하고 이것을 인증서 투명성 로그에 기록한 다음 버립니다. 이 키는 사용자가 파이프라인을 실행한 사용자의 OIDC 신원을 사용하여 GitLab 서버에서 얻은 토큰을 통해 생성됩니다. 이 토큰에는 CI/CD 파이프라인에서 생성된 것임을 보장하는 고유한 클레임이 포함되어 있습니다. 자세한 내용은 Cosign 문서에서 키 없는 서명에 대해 알아보세요.

GitLab OIDC 클레임과 Fulcio 인증서 확장 사이의 매핑에 대한 자세한 내용은 Mapping OIDC token claims to Fulcio OIDs의 GitLab 열을 참조하세요.

사전 요구 사항:

  • GitLab.com을 사용해야 합니다.
  • 프로젝트의 CI/CD 구성 파일이 프로젝트에 있어야 합니다.

Cosign을 사용하여 컨테이너 이미지 및 빌드 아티팩트 서명 또는 검증하기

Cosign을 사용하여 컨테이너 이미지와 빌드 아티팩트를 서명하고 검증할 수 있습니다.

사전 요구 사항:

  • >= 2.0.1 버전의 Cosign을 사용해야 합니다.

제한 사항:

  • CI/CD 구성 파일의 id_tokens 부분은 빌드 및 서명 중인 프로젝트에 있어야 합니다. AutoDevOps, 다른 리포지터리에서 포함된 CI 파일 및 하위 파이프라인은 지원되지 않습니다. 이 제한을 해제하기 위한 작업은 issue 411317에서 추적되고 있습니다.

모범 사례:

  • 이미지/아티팩트를 서명하기 전에 동일한 작업에서 빌드 및 서명하여 변조되지 않도록 해야 합니다.
  • 컨테이너 이미지를 서명할 때는 태그 대신 변경 불가능한 다이제스트를 서명해야 합니다.

Cosign은 키 없는 서명을 위해 GitLab ID tokens을 사용할 수 있습니다. 해당 토큰은 aud 클레임으로 sigstore를 설정해야 합니다. 해당 토큰은 SIGSTORE_ID_TOKEN 환경 변수에 설정되어 있을 때 Cosign에서 자동으로 사용할 수 있습니다.

Cosign을 설치하는 방법에 대해 자세히 알아보려면 Cosign 설치 문서를 참조하세요.

서명

컨테이너 이미지

Cosign.gitlab-ci.yml 템플릿을 사용하여 GitLab CI에서 컨테이너 이미지를 빌드하고 서명할 수 있습니다. 서명은 이미지와 동일한 컨테이너 리포지터리에 자동으로 저장됩니다. 

include:
- template: Cosign.gitlab-ci.yml

컨테이너 서명에 대해 자세히 알아보려면 Cosign 컨테이너 서명 문서를 참조하세요.

빌드 아티팩트

아래 예제는 GitLab CI에서 빌드 아티팩트를 서명하는 방법을 보여줍니다. cosign sign-blob에서 생성된 cosign.bundle 파일을 저장해야 하며, 이 파일은 서명 검증에 사용됩니다.

빌드 아티팩트 서명에 대해 자세히 알아보려면 Cosign 블롭 서명 문서를 참조하세요. 

build_and_sign_artifact:
  stage: build
  image: alpine:latest
  variables:
    COSIGN_YES: "true"
  id_tokens:
    SIGSTORE_ID_TOKEN:
      aud: sigstore
  before_script:
    - apk add --update cosign
  script:
    - echo "This is a build artifact" > artifact.txt
    - cosign sign-blob artifact.txt --bundle cosign.bundle
  artifacts:
    paths:
      - artifact.txt
      - cosign.bundle

검증

명령줄 인수

이름
--certificate-identity Fulcio에서 발급된 서명 인증서의 SAN. 프로젝트의 이미지/아티팩트가 서명된 곳에서 다음 정보로 구성될 수 있습니다: GitLab 인스턴스 URL + 프로젝트 경로 + // + CI 구성 경로 + @ + ref 경로.
--certificate-oidc-issuer 이미지/아티팩트가 서명된 GitLab 인스턴스 URL. 예: https://gitlab.com.
--bundle cosign sign-blob에서 생성된 bundle 파일. 빌드 아티팩트를 검증하는 데에만 사용됩니다.

서명된 이미지/아티팩트를 검증하는 방법에 대해 자세히 알아보려면 Cosign 검증 문서를 참조하세요.

컨테이너 이미지

아래 예제는 GitLab CI에서 서명된 컨테이너 이미지를 검증하는 방법을 보여줍니다. 명령줄 인수는 에서 설명되어 있습니다. 

verify_image:
  image: alpine:3.18
  stage: verify
  before_script:
    - apk add --update cosign docker
    - docker login -u "$CI_REGISTRY_USER" -p "$CI_REGISTRY_PASSWORD" $CI_REGISTRY
  script:
    - cosign verify "$CI_REGISTRY_IMAGE:$CI_COMMIT_SHORT_SHA" --certificate-identity "https://gitlab.com/my-group/my-project//path/to/.gitlab-ci.yml@refs/heads/main" --certificate-oidc-issuer "https://gitlab.com"

빌드 아티팩트

아래 예제는 GitLab CI에서 서명된 빌드 아티팩트를 검증하는 방법을 보여줍니다. 아티팩트를 검증하려면 아티팩트와 cosign.sign에서 생성된 cosign.bundle 파일이 모두 필요합니다. 명령줄 인수는 에서 설명되어 있습니다. 

verify_artifact:
  stage: verify
  image: alpine:latest
  before_script:
    - apk add --update cosign
  script:
    - cosign verify-blob artifact.txt --bundle cosign.bundle --certificate-identity "https://gitlab.com/my-group/my-project//path/to/.gitlab-ci.yml@refs/heads/main" --certificate-oidc-issuer "https://gitlab.com"

Sigstore 및 npm을 사용하여 키 없는 출처 생성하기

Sigstore와 npm을 함께 사용하여 GitLab CI/CD로 빌드 아티팩트를 디지털 서명할 수 있습니다. 이를 통해 키 관리 부담 없이 빌드 아티팩트를 서명할 수 있습니다.

npm 출처에 대하여

npm CLI는 패키지 유지 관리자가 사용자에게 출처 증명을 제공할 수 있습니다. npm CLI 출처 생성을 사용하면 사용자가 다운로드하고 사용하는 패키지가 귀하와 해당 패키지를 빌드한 빌드 시스템이 제공하는 것임을 신뢰하고 확인할 수 있습니다.

npm 패키지를 게시하는 방법에 대한 자세한 정보는 GitLab npm 패키지 레지스트리를 참조하세요.

Sigstore

Sigstore는 패키지 관리자 및 보안 전문가가 소프트웨어 공급망을 공격으로부터 안전하게 보호할 수 있도록 하는 데 사용할 수 있는 일련의 도구입니다. Fulcio, Cosign 및 Rekor와 같은 무료 오픈 소스 기술을 결합하여 소프트웨어의 디지털 서명, 검증 및 출처 확인을 처리하여 오픈 소스 소프트웨어를 배포하고 사용하는 것을 더 안전하게 만들기 위한 필요한 것들을 처리합니다.

관련된 주제:

GitLab CI/CD에서 출처 생성하기

이제 Sigstore가 위에서 설명한 대로 GitLab OIDC를 지원하므로, GitLab CI/CD 및 Sigstore를 함께 사용하여 GitLab CI/CD 파이프라인에서 npm 패키지의 출처를 생성하고 서명할 수 있습니다.

준비 사항

  1. GitLab ID 토큰 audsigstore로 설정하십시오.
  2. npm publish 시 --provenance 플래그를 추가하십시오.

.gitlab-ci.yml 파일에 추가할 예시 내용: 

image: node:latest

build:
  id_tokens:
    SIGSTORE_ID_TOKEN:
      aud: sigstore
  script:
    - npm publish --provenance --access public

또한, npm GitLab 템플릿도 이 기능을 제공합니다. 예시는 템플릿 문서에서 확인할 수 있습니다.

npm 출처 검증

npm CLI는 최종 사용자가 패키지의 출처를 검증하는 기능도 제공합니다. 

npm audit signatures
audited 1 package in 0s
1 package has a verified registry signature

출처 메타데이터 검토

Rekor 투명성 로그는 출처가 있는 모든 패키지에 대한 인증서와 보증을 저장합니다. 아래 예시를 확인하세요. 해당 예시에 대한 항목.

npm에 의해 생성된 예시 출처 문서: 

_type: https://in-toto.io/Statement/v0.1
subject:
  - name: pkg:npm/%40strongjz/strongcoin@0.0.13
    digest:
      sha512: >-
        924a134a0fd4fe6a7c87b4687bf0ac898b9153218ce9ad75798cc27ab2cddbeff77541f3847049bd5e3dfd74cea0a83754e7686852f34b185c3621d3932bc3c8
predicateType: https://slsa.dev/provenance/v0.2
predicate:
  buildType: https://github.com/npm/CLI/gitlab/v0alpha1
  builder:
    id: https://gitlab.com/strongjz/npm-provenance-example/-/runners/12270835
  invocation:
    configSource:
      uri: git+https://gitlab.com/strongjz/npm-provenance-example
      digest:
        sha1: 6e02e901e936bfac3d4691984dff8c505410cbc3
      entryPoint: deploy
    parameters:
      CI: 'true'
      CI_API_GRAPHQL_URL: https://gitlab.com/api/graphql
      CI_API_V4_URL: https://gitlab.com/api/v4
      ...