Attestations

Les attestations de build vous donnent des informations détaillées sur la manière dont une image a été construite et ce qu'elle contient. Ces attestations, générées par BuildKit lors de la construction, sont attachées à l'image finale en tant que métadonnées, vous permettant d'inspecter une image pour voir son origine, son créateur, et son contenu. Ces informations vous aident à prendre des décisions éclairées sur la sécurité et l'impact de l'image sur votre chaîne d'approvisionnement.

Docker Scout utilise ces attestations pour évaluer la sécurité de l'image et la posture de la chaîne d'approvisionnement, et pour fournir des recommandations de remédiation pour les problèmes. Si des problèmes sont détectés, tels que des attestations manquantes ou obsolètes, Docker Scout peut vous guider sur la manière de les ajouter ou de les mettre à jour, garantissant la conformité et améliorant la visibilité sur l'état de sécurité de l'image.

Il existe deux types clés d'attestations :

• SBOM, qui liste les artefacts logiciels dans l'image.
• Provenance, qui détaille comment l'image a été construite.

Vous pouvez créer des attestations en utilisant docker buildx build avec les options --provenance et --sbom. Les attestations s'attachent à l'index de l'image, vous permettant de les inspecter sans télécharger l'image entière. Docker Scout exploite ces métadonnées pour vous donner des recommandations plus précises et un meilleur contrôle sur la sécurité de votre image.