OpenShift Pipelinesのv1.7からTech Previewで利用可能になったTekton Chainsは、KubernetesのCRDコントローラーとして、Tektonでのパイプライン成果物に署名し適切に管理することを可能にします。
Tekton Chainsは、パイプラインのTaskRunの実行結果やコンテナイメージに署名を行い、それを標準的なペイロードフォーマットに変換後、保管します。
このツールにより、ビルドしたコンテナイメージに署名することができ、セキュリティの向上や、ISVベンダーが自社アプリケーションをコンテナとして提供する際の信頼性の確認などが可能となります。
署名は、OpenShiftの内部レジストリなどに保管され、cosignツールを使用して検証が可能です。
Tekton Chainsの設定には、署名用の鍵の作成やパイプラインの実行結果を適切に設定する必要があり、署名検証を自動化するためにはAdmission Controllerを導入することが望ましいです。
Tekton ChainsはSupply Chain Security対策の一つとして、今後の発展が期待されます。