GitHub Actionsで信頼できるコンテンツを構築する

ソフトウェアサプライチェーンのセキュリティを向上させ、開発者が毎日作成して使用するコンテナイメージの信頼性を高めるための継続的な取り組みの一環として、DockerはDocker公式イメージ(DOI)ビルドのGitHub Actionsプラットフォームへの移行を開始しました。 GitHub Actionsでホストされているエフェメラルビルドプラットフォームを活用することで、OpenPubkeyとGitHub Actions OIDCプロバイダー を使用して署名された 来歴とSBOM構成証明を備えた、安全で検証可能なイメージを作成できます。

GitHub Actionsで信頼できるコンテンツを構築する長方形

DOIは現在、他のどの画像コレクションよりも多くの、さまざまな画像に対して最大9つのアーキテクチャをサポートしています。 DOIカタログの信頼性が高まるにつれて、作業を3つのフェーズに分けて進めていきます。 最初のフェーズでは、Linux/AMD64 と Linux/386 のイメージのみが GitHub Actions 上にビルドされます。 第 2 フェーズでは、来年、 GitHub Actions の Arm ベースのホスト ランナー が利用可能になり、追加の Arm アーキテクチャのサポートが追加されることを心待ちにしています。 最終フェーズでは、GitHub Actions ホステッド ランナーでサポートされていないイメージ アーキテクチャに対して GitHub Actions セルフホスト ランナーを使用して、優れたアーキテクチャをカバーすることを調査します。

GitHub Actionsの使用に加えて、新しいDOI署名アプローチでは、誰がDocker公式イメージに署名すべきかを特定する信頼の基点を確立する必要があります。 Open Source Security Foundation (OpenSSF、Linux Foundationプロジェクト)、CNCF TUF (The Update Framework)および intotoプロジェクトOCI 技術コミュニティなど、さまざまな関連コミュニティと協力して、TUFを使用してこの信頼ルートを確立および配布しています。

開発者がスムーズかつ迅速に導入できるように、DOI TUF+OpenPubkeyの署名と検証をコンテナツールチェーンに統合します。 これらのプラグ可能な統合により、開発者はDOIの署名をシームレスに検証し、これらの基本的なアーティファクトの完全性と出所を確保できます。 近日中に、DOIベースイメージ署名の検証が、より合理化されたワークフローのために、 DockerイメージのビルドとプッシュのGitHub Action に統合されます。

次のステップ

Dockerは今後も、TUF+OpenPubkey署名アプローチの開発と拡張を継続し、信頼のブートストラップ、署名、検証を強化し、簡素化し、より広く利用できるようにしていきます。 次のステップとして、Docker Verified Publishers(DVP)およびDocker-Sponsored Open Source(DSOS)と協力して、署名サポートを追加のDocker信頼済みコンテンツに拡張する予定です。 さらに、Docker HubとGitHub Actions OIDCの統合を提供する計画が用意されており、開発者はGitHub Actions OIDC IDを使用してOCIイメージをDocker Hubに直接プッシュできます。

さらに詳しく