1. 首页
  2. 软件
  3. 工程实践
  4. 开发实践

Helm Chart签名与来源治理(provenance-签名-白名单)最佳实践

YBB 22 阅读 0 评论

实现示例


type Chart = { name: string; version: string; digest: string; repo: string }
type Prov = { alg: 'RS256'; kid: string; sigB64: string; created: number; expires: number }

const allowRepos = new Set<string>(['https://charts.example.com','https://artifacthub.io'])

function hex64(h: string): boolean { return /^[A-Fa-f0-9]{64}$/.test(h) }
function b64(s: string): boolean { return /^[A-Za-z0-9+/=]+$/.test(s) }
function validRepo(u: string): boolean { try { const x = new URL(u); return x.protocol === 'https:' && allowRepos.has(x.origin) } catch { return false } }
function within(created: number, expires: number, now: number, leewaySec: number): boolean { if (expires <= created) return false; return now + leewaySec * 1000 >= created && now - leewaySec * 1000 <= expires }

function evaluate(chart: Chart, prov: Prov, now: number): { ok: boolean; errors: string[] } {
  const errors: string[] = []
  if (!chart.name || !chart.version || !hex64(chart.digest) || !validRepo(chart.repo)) errors.push('chart')
  if (prov.alg !== 'RS256' || !prov.kid || !b64(prov.sigB64)) errors.push('prov')
  if (!within(prov.created, prov.expires, now, 60)) errors.push('time')
  return { ok: errors.length === 0, errors }
}

审计与发布治理

  • 审计 Chart 摘要与签名、仓库来源与时间窗口;异常阻断并回退。
  • 仅接受受控仓库与合法签名的 Chart。


点赞(0) 打赏
Kubernetes镜像拉取准入控制治理(Admission-签名-白名单)最佳实践
Kubernetes镜像拉取准入控制治理(Admission-签名-白名单)最佳实践
HTTP Message Signatures:请求签名标准化实践
HTTP Message Signatures:请求签名标准化实践
ESM-CJS双包危害治理(type-main-module-exports一致性)最佳实践
ESM-CJS双包危害治理(type-main-module-exports一致性)最佳实践
CocoaPods依赖与Podfile.lock治理(Specs-源-校验)最佳实践
CocoaPods依赖与Podfile.lock治理(Specs-源-校验)最佳实践

评论列表 共有 0 条评论

暂无评论
立即
投稿

微信公众账号

微信扫一扫加关注

 发表
评论 返回
顶部