目录

SLSA 定义

BuildKit 支持 创建 SLSA 来源证明,用于它运行的构建。

BuildKit 生成的来源证明格式由 SLSA 来源证明格式 定义。

此页面介绍 BuildKit 如何填充每个字段,以及在您生成证明时是否会包含该字段 mode=minmode=max.

builder.id

对应于 SLSA builder.id.

包含在 mode=minmode=max 中。

如果可用,builder.id 字段将设置为构建的 URL。

    "builder": {
      "id": "https://github.com/docker/buildx/actions/runs/3709599520"
    },

此值可以使用 builder-id 证明参数设置。

buildType

对应于 SLSA buildType.

包含在 mode=minmode=max 中。

buildType 字段设置为 https://mobyproject.org/buildkit@v1 可用于确定来源证明内容的结构。

    "buildType": "https://mobyproject.org/buildkit@v1",

invocation.configSource

对应于 SLSA invocation.configSource.

包含在 mode=minmode=max 中。

描述初始化构建的配置。

    "invocation": {
      "configSource": {
        "uri": "https://github.com/moby/buildkit.git#refs/tags/v0.11.0",
        "digest": {
          "sha1": "4b220de5058abfd01ff619c9d2ff6b09a049bea0"
        },
        "entryPoint": "Dockerfile"
      },
      ...
    },

对于从远程上下文(如 Git 或 HTTP URL)初始化的构建,此对象在 uridigest 字段中定义上下文 URL 及其不可变摘要。对于使用本地前端(例如 Dockerfile)的构建,entryPoint 字段定义了用于初始化构建的前端文件路径(filename 前端选项)。

invocation.parameters

对应于 SLSA invocation.parameters.

部分包含在 mode=min 中。

描述传递给构建的构建输入。

    "invocation": {
      "parameters": {
        "frontend": "gateway.v0",
        "args": {
          "build-arg:BUILDKIT_CONTEXT_KEEP_GIT_DIR": "1",
          "label:FOO": "bar",
          "source": "docker/dockerfile-upstream:master",
          "target": "release"
        },
        "secrets": [
          {
            "id": "GIT_AUTH_HEADER",
            "optional": true
          },
          ...
        ],
        "ssh": [],
        "locals": []
      },
      ...
    },

以下字段包含在 mode=minmode=max

  • locals 列出了构建中使用的任何本地来源,包括构建上下文和前端文件。

  • frontend 定义了用于构建的 BuildKit 前端的类型。目前,这可以是 dockerfile.v0gateway.v0

  • args 定义了传递给 BuildKit 前端的构建参数。

    args 对象中的键反映了 BuildKit 收到的选项。例如,build-arglabel 前缀用于构建参数和标签,而 target 键定义了构建的目标阶段。source 键定义了网关前端的来源镜像(如果使用)。

以下字段仅包含在 mode=max

  • secrets 定义了构建期间使用的秘密。请注意,不会包含实际的秘密值。
  • ssh 定义了构建期间使用的 ssh 转发。

invocation.environment

对应于 SLSA invocation.environment.

包含在 mode=minmode=max 中。

    "invocation": {
      "environment": {
        "platform": "linux/amd64"
      },
      ...
    },

BuildKit 目前设置的唯一值是当前构建机器的 platform。请注意,这并不一定是构建结果的平台,可以从 in-toto 主题字段中确定。

materials

对应于 SLSA materials.

包含在 mode=minmode=max 中。

定义所有作为构建一部分的外部工件。该值取决于工件的类型

  • 包含镜像源代码的 Git 存储库的 URL
  • 如果您是从远程 tarball 构建,或使用 Dockerfile 中的 ADD 命令包含的 HTTP URL
  • 构建期间使用的任何 Docker 镜像

Docker 镜像的 URL 将使用 Package URL 格式。

所有构建材料都将包括工件的不可变校验和。从可变标签构建时,可以使用摘要信息来确定与构建运行时相比,工件是否已更新。

    "materials": [
      {
        "uri": "pkg:docker/alpine@3.17?platform=linux%2Famd64",
        "digest": {
          "sha256": "8914eb54f968791faf6a8638949e480fef81e697984fba772b3976835194c6d4"
        }
      },
      {
        "uri": "https://github.com/moby/buildkit.git#refs/tags/v0.11.0",
        "digest": {
          "sha1": "4b220de5058abfd01ff619c9d2ff6b09a049bea0"
        }
      },
      ...
    ],

buildConfig

对应于 SLSA buildConfig.

仅包含在 mode=max 中。

定义构建期间执行的构建步骤。

BuildKit 在内部使用 LLB 定义来执行构建步骤。构建步骤的 LLB 定义在 buildConfig.llbDefinition 字段中定义。

每个 LLB 步骤都是 LLB ProtoBuf API

  "buildConfig": {
    "llbDefinition": [
      {
        "id": "step0",
        "op": {
          "Op": {
            "exec": {
              "meta": {
                "args": [
                  "/bin/sh",
                  "-c",
                  "go build ."
                ],
                "env": [
                  "PATH=/go/bin:/usr/local/go/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
                  "GOPATH=/go",
                  "GOFLAGS=-mod=vendor",
                ],
                "cwd": "/src",
              },
              "mounts": [...]
            }
          },
          "platform": {...},
        },
        "inputs": [
          "step8:0",
          "step2:0",
        ]
      },
      ...
    ]
  },

metadata.buildInvocationId

对应于 SLSA metadata.buildInvocationId.

包含在 mode=minmode=max 中。

构建调用的唯一标识符。当使用单个构建请求构建多平台镜像时,此值将被所有平台版本的镜像共享。

    "metadata": {
      "buildInvocationID": "rpv7a389uzil5lqmrgwhijwjz",
      ...
    },

metadata.buildStartedOn

对应于 SLSA metadata.buildStartedOn.

包含在 mode=minmode=max 中。

构建开始的时间戳。

    "metadata": {
      "buildStartedOn": "2021-11-17T15:00:00Z",
      ...
    },

metadata.buildFinishedOn

对应于 SLSA metadata.buildFinishedOn.

包含在 mode=minmode=max 中。

构建完成的时间戳。

    "metadata": {
      "buildFinishedOn": "2021-11-17T15:01:00Z",
      ...
    },

metadata.completeness

对应于 SLSA metadata.completeness.

包含在 mode=minmode=max 中。

定义溯源信息是否完整。

completeness.parameters 如果所有构建参数都包含在 invocation.parameters 字段中,则为 true。当以 min 模式构建时,构建参数不会包含在溯源信息中,参数也不完整。参数在没有使用前端的直接 LLB 构建中也不完整。

completeness.environment 对于 BuildKit 构建始终为 true。

completeness.materials 如果 materials 字段包含构建的所有依赖项,则为 true。当从本地目录中的未跟踪源构建时,材料不完整,而当从远程 Git 存储库构建时,所有材料都可以被 BuildKit 跟踪,并且 completeness.materials 为 true。

    "metadata": {
      "completeness": {
        "parameters": true,
        "environment": true,
        "materials": true
      },
      ...
    },

metadata.reproducible

对应于 SLSA metadata.reproducible.

定义构建结果是否应该是逐字节可重现的。此值可以通过用户使用 reproducible=true 证明参数来设置。

    "metadata": {
      "reproducible": false,
      ...
    },

metadata.https://mobyproject.org/buildkit@v1#hermetic

包含在 mode=minmode=max 中。

如果构建是隔离的并且没有访问网络,则此扩展字段将设置为 true。在 Dockerfile 中,如果构建不使用 RUN 命令或使用 --network=none 标志禁用网络,则构建是隔离的。

    "metadata": {
      "https://mobyproject.org/buildkit@v1#hermetic": true,
      ...
    },

metadata.https://mobyproject.org/buildkit@v1#metadata

部分包含在 mode=min 中。

此扩展字段定义 BuildKit 特定的附加元数据,它不是 SLSA 溯源规范的一部分。

    "metadata": {
      "https://mobyproject.org/buildkit@v1#metadata": {
        "source": {...},
        "layers": {...},
        "vcs": {...},
      },
      ...
    },

source

仅包含在 mode=max 中。

定义 LLB 构建步骤的源映射,在 buildConfig.llbDefinition 字段中定义,到它们原始的源代码(例如,Dockerfile 命令)。source.locations 字段包含在 LLB 步骤中运行的所有 Dockerfile 命令的范围。source.infos 数组包含源代码本身。如果 BuildKit 前端在创建 LLB 定义时提供了此映射,则此映射存在。

layers

仅包含在 mode=max 中。

定义在 buildConfig.llbDefinition 中定义的 LLB 构建步骤挂载到等效层 OCI 描述符的层映射。如果层数据可用,通常在对镜像进行证明或构建步骤作为构建的一部分拉入镜像数据时,此映射存在。

vcs

包含在 mode=minmode=max 中。

定义用于构建的版本控制系统(VCS)的可选元数据。如果构建使用来自 Git 存储库的远程上下文,BuildKit 会自动提取版本控制系统(VCS)的详细信息,并将其显示在 invocation.configSource 字段中。但如果构建使用来自本地目录的源,即使该目录包含一个 Git 存储库,VCS 信息也会丢失。在这种情况下,构建客户端可以发送额外的 vcs:sourcevcs:revision 构建选项,BuildKit 会将它们添加到溯源证明作为额外的元数据。请注意,与 invocation.configSource 字段相反,BuildKit 不会验证 vcs 值,因此不能信任它们,而应该仅用作元数据提示。

输出

要检查为容器镜像生成的并附加到容器镜像的溯源,可以使用 docker buildx imagetools 命令检查注册表中的镜像。检查证明显示了 证明存储规范 中描述的格式。

例如,检查基于 alpine:latest 的简单 Docker 镜像,对于 mode=min 构建,结果是类似于以下的溯源证明

{
  "_type": "https://in-toto.io/Statement/v0.1",
  "predicateType": "https://slsa.dev/provenance/v0.2",
  "subject": [
    {
      "name": "pkg:docker/<registry>/<image>@<tag/digest>?platform=<platform>",
      "digest": {
        "sha256": "e8275b2b76280af67e26f068e5d585eb905f8dfd2f1918b3229db98133cb4862"
      }
    }
  ],
  "predicate": {
    "builder": {
      "id": ""
    },
    "buildType": "https://mobyproject.org/buildkit@v1",
    "materials": [
      {
        "uri": "pkg:docker/alpine@latest?platform=linux%2Famd64",
        "digest": {
          "sha256": "8914eb54f968791faf6a8638949e480fef81e697984fba772b3976835194c6d4"
        }
      }
    ],
    "invocation": {
      "configSource": {
        "entryPoint": "Dockerfile"
      },
      "parameters": {
        "frontend": "dockerfile.v0",
        "args": {},
        "locals": [
          {
            "name": "context"
          },
          {
            "name": "dockerfile"
          }
        ]
      },
      "environment": {
        "platform": "linux/amd64"
      }
    },
    "metadata": {
      "buildInvocationID": "yirbp1aosi1vqjmi3z6bc75nb",
      "buildStartedOn": "2022-12-08T11:48:59.466513707Z",
      "buildFinishedOn": "2022-12-08T11:49:01.256820297Z",
      "reproducible": false,
      "completeness": {
        "parameters": true,
        "environment": true,
        "materials": false
      },
      "https://mobyproject.org/buildkit@v1#metadata": {}
    }
  }
}

对于类似的构建,但使用 mode=max

{
  "_type": "https://in-toto.io/Statement/v0.1",
  "predicateType": "https://slsa.dev/provenance/v0.2",
  "subject": [
    {
      "name": "pkg:docker/<registry>/<image>@<tag/digest>?platform=<platform>",
      "digest": {
        "sha256": "e8275b2b76280af67e26f068e5d585eb905f8dfd2f1918b3229db98133cb4862"
      }
    }
  ],
  "predicate": {
    "builder": {
      "id": ""
    },
    "buildType": "https://mobyproject.org/buildkit@v1",
    "materials": [
      {
        "uri": "pkg:docker/alpine@latest?platform=linux%2Famd64",
        "digest": {
          "sha256": "8914eb54f968791faf6a8638949e480fef81e697984fba772b3976835194c6d4"
        }
      }
    ],
    "invocation": {
      "configSource": {
        "entryPoint": "Dockerfile"
      },
      "parameters": {
        "frontend": "dockerfile.v0",
        "args": {},
        "locals": [
          {
            "name": "context"
          },
          {
            "name": "dockerfile"
          }
        ]
      },
      "environment": {
        "platform": "linux/amd64"
      }
    },
    "buildConfig": {
      "llbDefinition": [
        {
          "id": "step0",
          "op": {
            "Op": {
              "source": {
                "identifier": "docker-image://docker.io/library/alpine:latest@sha256:8914eb54f968791faf6a8638949e480fef81e697984fba772b3976835194c6d4"
              }
            },
            "platform": {
              "Architecture": "amd64",
              "OS": "linux"
            },
            "constraints": {}
          }
        },
        {
          "id": "step1",
          "op": {
            "Op": null
          },
          "inputs": ["step0:0"]
        }
      ]
    },
    "metadata": {
      "buildInvocationID": "46ue2x93k3xj5l463dektwldw",
      "buildStartedOn": "2022-12-08T11:50:54.953375437Z",
      "buildFinishedOn": "2022-12-08T11:50:55.447841328Z",
      "reproducible": false,
      "completeness": {
        "parameters": true,
        "environment": true,
        "materials": false
      },
      "https://mobyproject.org/buildkit@v1#metadata": {
        "source": {
          "locations": {
            "step0": {
              "locations": [
                {
                  "ranges": [
                    {
                      "start": {
                        "line": 1
                      },
                      "end": {
                        "line": 1
                      }
                    }
                  ]
                }
              ]
            }
          },
          "infos": [
            {
              "filename": "Dockerfile",
              "data": "RlJPTSBhbHBpbmU6bGF0ZXN0Cg==",
              "llbDefinition": [
                {
                  "id": "step0",
                  "op": {
                    "Op": {
                      "source": {
                        "identifier": "local://dockerfile",
                        "attrs": {
                          "local.differ": "none",
                          "local.followpaths": "[\"Dockerfile\",\"Dockerfile.dockerignore\",\"dockerfile\"]",
                          "local.session": "q2jnwdkas0i0iu4knchd92jaz",
                          "local.sharedkeyhint": "dockerfile"
                        }
                      }
                    },
                    "constraints": {}
                  }
                },
                {
                  "id": "step1",
                  "op": {
                    "Op": null
                  },
                  "inputs": ["step0:0"]
                }
              ]
            }
          ]
        },
        "layers": {
          "step0:0": [
            [
              {
                "mediaType": "application/vnd.oci.image.layer.v1.tar+gzip",
                "digest": "sha256:c158987b05517b6f2c5913f3acef1f2182a32345a304fe357e3ace5fadcad715",
                "size": 3370706
              }
            ]
          ]
        }
      }
    }
  }
}