Docker Build-Push Action中SBOM和Provenance的生成与验证

在Docker镜像构建和推送过程中，软件物料清单(SBOM)和来源证明(Provenance)是确保软件供应链安全的重要机制。本文将详细介绍如何在使用docker/build-push-action时正确配置和使用这些功能。

SBOM和Provenance的基本概念

SBOM(Software Bill of Materials)是一份详细列出软件组件及其依赖关系的清单，类似于制造业中的物料清单。它帮助用户了解镜像中包含的所有软件组件及其版本信息。

Provenance(来源证明)则记录了镜像的构建过程信息，包括构建环境、构建步骤、输入源等，用于验证镜像的真实性和构建过程的完整性。

配置docker/build-push-action

在GitHub Actions工作流中，可以通过以下配置启用SBOM和Provenance功能：

- uses: docker/build-push-action@v6
  with:
    push: true
    provenance: mode=max
    sbom: true

关键参数说明：

• provenance: mode=max：启用最大模式的来源证明，记录最详细的构建信息
• sbom: true：启用SBOM生成功能

验证SBOM和Provenance

构建完成后，可以通过以下方式验证SBOM和Provenance是否已正确生成并推送：

1. 使用docker buildx imagetools inspect命令：

   docker buildx imagetools inspect <镜像名称> --format "{{ json .Provenance }}"
   

2. 查看构建日志： 在构建日志中，应能看到类似以下的输出，表明SBOM生成过程已完成：

   [linux/amd64] generating sbom using docker.io/docker/buildkit-syft-scanner:stable-1
   time="2024-08-09T09:07:42Z" level=info msg="starting syft scanner for buildkit v1.4.0"
   

常见问题排查

1. Provenance显示为null： 可能是查询语法不正确，确保使用正确的JSON格式查询。

2. SBOM未生成：

   • 检查构建日志中是否有SBOM生成步骤
   • 确认sbom: true参数已正确设置
   • 确保使用的build-push-action版本支持SBOM功能

3. 推送失败：

   • 检查是否有足够的权限推送附加的SBOM和Provenance数据
   • 确认目标镜像仓库支持这些附加的元数据

最佳实践

1. 版本控制： 始终使用固定版本的build-push-action，避免因版本更新导致的不兼容问题。

2. 构建环境： 确保构建环境(GitHub Runner)有足够的资源处理SBOM生成，特别是对于大型镜像。

3. 安全检查： 可以将生成的SBOM与安全检查工具集成，实现自动化的风险检测。

4. 审计跟踪： 定期检查Provenance数据，确保构建过程符合预期，没有未经授权的修改。

通过正确配置和使用docker/build-push-action的SBOM和Provenance功能，可以显著提升容器化应用的安全性和可追溯性，是现代化DevSecOps实践中的重要一环。