使用GitHub Actions添加SBOM和来源证明
目录
软件物料清单 (SBOM) 和来源证明添加关于镜像内容及其构建方式的元数据。
docker/build-push-action 的 4 版及更高版本支持证明。
默认来源
docker/build-push-action GitHub Action 会自动将来源证明添加到您的镜像,但需满足以下条件:
- 如果GitHub仓库是公开的,则会自动将具有
mode=max的来源证明添加到镜像。 - 如果GitHub仓库是私有的,则会自动将具有
mode=min的来源证明添加到镜像。 - 如果您使用的是
docker导出器,或者您使用load: true将构建结果加载到运行器,则不会将任何证明添加到镜像。这些输出格式不支持证明。
警告
如果您正在使用
docker/build-push-action为公共 GitHub 仓库中的代码构建镜像,则默认情况下附加到镜像的来源证明包含构建参数的值。如果您滥用构建参数将机密(如用户凭据或身份验证令牌)传递到构建,则这些机密会暴露在来源证明中。请重构您的构建,改用秘密挂载来传递这些机密。还要记住轮换您可能已暴露的任何机密。
最大级别来源
建议您使用最大级别来源证明构建镜像。私有仓库默认只添加最小级别来源,但您可以通过将docker/build-push-action GitHub Action 上的provenance输入手动设置为mode=max来覆盖来源级别。
请注意,将证明添加到镜像意味着您必须直接将镜像推送到注册表,而不是将镜像加载到运行器的本地镜像存储区。这是因为本地镜像存储区不支持加载包含证明的镜像。
name: ci
on:
push:
env:
IMAGE_NAME: user/app
jobs:
docker:
runs-on: ubuntu-latest
steps:
- name: Login to Docker Hub
uses: docker/login-action@v3
with:
username: ${{ vars.DOCKERHUB_USERNAME }}
password: ${{ secrets.DOCKERHUB_TOKEN }}
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v3
- name: Extract metadata
id: meta
uses: docker/metadata-action@v5
with:
images: ${{ env.IMAGE_NAME }}
- name: Build and push image
uses: docker/build-push-action@v6
with:
push: true
provenance: mode=max
tags: ${{ steps.meta.outputs.tags }}SBOM
SBOM 证明不会自动添加到镜像。要添加 SBOM 证明,请将docker/build-push-action 的sbom输入设置为 true。
请注意,将证明添加到镜像意味着您必须直接将镜像推送到注册表,而不是将镜像加载到运行器的本地镜像存储区。这是因为本地镜像存储区不支持加载包含证明的镜像。
name: ci
on:
push:
env:
IMAGE_NAME: user/app
jobs:
docker:
runs-on: ubuntu-latest
steps:
- name: Login to Docker Hub
uses: docker/login-action@v3
with:
username: ${{ vars.DOCKERHUB_USERNAME }}
password: ${{ secrets.DOCKERHUB_TOKEN }}
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v3
- name: Extract metadata
id: meta
uses: docker/metadata-action@v5
with:
images: ${{ env.IMAGE_NAME }}
- name: Build and push image
uses: docker/build-push-action@v6
with:
sbom: true
push: true
tags: ${{ steps.meta.outputs.tags }}