Tekton Chains
Overview
Tekton Chains, c'est le projet CNCF qui pense que faire confiance aveuglément à tes pipelines CI/CD et artefacts, c'est naïf à l'ère des attaques supply chain. Il génère automatiquement des attestations cryptographiques (SLSA, in-toto) pour chaque TaskRun et PipelineRun Tekton, signe les artefacts produits, et crée une chaîne de confiance vérifiable. Si tu veux sécuriser ta supply chain avec des preuves cryptographiques, c'est indispensable.
Tekton Chains s'installe comme contrôleur Kubernetes et surveille automatiquement les TaskRuns Tekton. Il génère des métadonnées sur les builds (sources, dependencies, environment), crée des attestations au format SLSA ou in-toto, et les signe avec des clés privées (Cosign, KMS, etc.). Zero configuration supplémentaire dans tes pipelines.
Tekton Chains se distingue par son intégration transparente avec Tekton (zero config pipelines), son support des standards SLSA/in-toto, et sa capacité à créer une supply chain security complète avec preuves cryptographiques vérifiables.
Informations essentielles
| Propriété | Valeur |
|---|---|
| Site officiel | https://tekton.dev/docs/chains/ |
| Repository | https://github.com/tektoncd/chains |
| Licence | Apache 2.0 |
| Développeur | Tekton (CNCF) |
| Langage | Go |
| Standards | SLSA, in-toto, Cosign |
Cas d'usage typiques
- Génération automatique d'attestations pour compliance supply chain
- Signature cryptographique d'images containers et artefacts builds
- Traçabilité complète from source to deployment avec preuves
- Compliance SLSA Level 2/3 pour organisations réglementées
- Détection de tampering ou modification non autorisée d'artefacts
- Audit trails cryptographiquement vérifiables pour investigations
Intégrations et écosystème
- Tekton : intégration native TaskRuns, PipelineRuns sans modification pipelines
- Sigstore : Cosign pour signatures, Rekor pour transparency logs
- Storage : OCI registries, Git repos, cloud storage pour attestations
- KMS : AWS KMS, GCP KMS, Azure Key Vault pour gestion clés
- Policy engines : OPA Gatekeeper, Kyverno pour enforcement policies
- SBOM : génération Software Bill of Materials intégrée
Avantages
- ✅ Zero config : intégration transparente, pas de modification pipelines existants
- ✅ Standards compliance : SLSA, in-toto, formats reconnus industrie
- ✅ CNCF officiel : projet mature, bien maintenu, production-ready
- ✅ Preuves cryptographiques : signatures vérifiables, tamper-evident
- ✅ Ecosystem integration : Sigstore, OCI, standards supply chain
- ✅ Automated : génération automatique, pas d'intervention manuelle
Inconvénients et limitations
- ❌ Tekton dépendant : fonctionne uniquement avec Tekton Pipelines
- ❌ Complexité crypto : gestion clés, signatures nécessite expertise
- ❌ Storage overhead : attestations et signatures consomment espace
- ❌ Performance impact : génération attestations ajoute latence builds
- ❌ Adoption récente : écosystème de vérification encore en développement
Alternatives
- SLSA frameworks : autres implémentations SLSA (GitHub, GitLab built-in)
- Sigstore Cosign : signature manuelle d'artefacts (pas automatique)
- Custom solutions : scripts maison avec Cosign/Notary (maintenance élevée)
- Cloud native : AWS CodeArtifact, GCP Binary Authorization (vendor lock-in)
- Commercial : Chainguard, Anchore pour supply chain security complète
Ressources
- Documentation Tekton Chains : https://tekton.dev/docs/chains/
- GitHub : https://github.com/tektoncd/chains
- SLSA : https://slsa.dev/