Container signing: het bewijs dat een image betrouwbaar is
Bij container signing wordt een cryptografische handtekening gekoppeld aan een container image. Deze handtekening biedt twee fundamentele garanties:
- De authenticiteit bevestigt dat de container daadwerkelijk afkomstig is van een vertrouwde afzender.
- De integriteit garandeert dat de content niet is gewijzigd sinds het moment van ondertekening.
Container signing garandeert niet dat er geen kwetsbaarheden meer zijn, maar wel dat je precies weet wat deze draait en waar het vandaan komt.
Dankzij tools als Sigstore Cosign en Notation kun je in elke stap van de pipeline handtekeningen verifiëren.
Attestations: een beschrijving waarom je een image kunt vertrouwen
Attestations zijn (eveneens ondertekend) JSON‑documenten met metadata (zoals SBOM, build‑provenance of security‑scanresultaten), die aan een specifieke versie van een image worden gekoppeld. Met attestations kun je cryptografisch bewijzen dat de SBOM bij precies een specifieke image hoort.
Voordelen van container signing en attestation
De combinatie van container signing en attestations bieden verschillende voordelen:
- Grotere weerbaarheid en betrouwbaarheid van de supply chain, omdat je kunt voorkomen dat gemanipuleerde of ongewenste images terechtkomen in de productiefase.
- Kwetsbaarheden worden traceerbaar. Als je een kwetsbaarheid tegenkomt in een dependency, dan kun je eenvoudig en in een paar seconden via de geattesteerde SBOM achterhalen welke running containers worden geraakt.
- Versnelde compliance: de Europese Cyber Resilience Act, die in 2027 in werking treedt, vereist aantoonbare ‘secure-by-design’ processen. De combinatie van container signing, SBOM en attestations leveren een cryptografisch bewijs dat kan worden ingezet bij audits.
- Toegenomen runtime-vertrouwen: de validatie van containers vindt niet alleen plaats in de build- of deploy-fase, maar kan ook periodiek worden afgedwongen, of bij elke container-start.
Gefaseerde implementatie
Voor organisaties die willen starten met container signing en attestations is een gefaseerde implementatie aan te raden:
- Creëer bewustzijn binnen de organisatie: leg uit waarom authenticiteit en integriteit essentieel zijn.
- Identificeer welk team ‘key custodian’ is en dus verantwoordelijk voor het beheren van trust policies.
- Selecteer de benodigde tooling en richt de public key infrastructure (PKI) in: vaak is het mogelijk om bestaande code signing keys te hergebruiken.
- Start met het valideren van externe images, controleer vervolgens bestaande signatures en attestations van upstream‑images. Daarna kun je (eventueel) een eigen ‘approved‑for‑internal‑use’ signatuur toevoegen.
- Start met het ondertekenen van een eigen build pipeline en het publiceren van SBOM’s, scanrapporten en attestations.
- Start met het blokkeren van onbekende of ongeldige artifacts zowel in CI/CD (pre-merge), registry (admission) als in runtime (Kubernetes).
- Train teams met een korte feedbackloop: een broken signature betekent dat de build faalt, waardoor je een directe fix kunt toepassen.
Kortom: container signing en attestations ondervangen geen kwetsbaarheden, maar maken ze wel beheersbaar. Door handtekeningen te combineren met geattesteerde metadata krijg je een sluitende keten van vertrouwen, van broncode tot productie.
Organisaties die nu investeren in dit fundament, voldoen straks niet alleen moeiteloos aan de Europese CRA, maar versterken vooral hun weerbaarheid tegen supply‑chain‑aanvallen.
