Partilhar via

Notation@0 - Tarefa de notação v0

  • Artigo

Tarefa pipepina do Azure para configurar a CLI de Notação, inicie sessão e verifique com Notação.

Syntax

# Notation v0
# Azure Pipepine Task for setting up Notation CLI, sign and verify with Notation.
- task: Notation@0
  inputs:
    command: 'install' # 'install' | 'sign' | 'verify'. Required. Command to run. Default: install.
  # Command Configuration
    #isCustomVersion: false # boolean. Optional. Use when command = install. Custom Version. Default: false.
    #version: '1.1.0' # string. Required when command = install && isCustomVersion = false. Version. Default: 1.1.0.
    #url: # string. Required when command = install && isCustomVersion = true. Download URL. 
    #checksum: # string. Required when command = install && isCustomVersion = true. Checksum. 
    #artifactRefs: # string. Optional. Use when command = verify || command = sign. Artifact references. 
    #trustPolicy: # string. Required when command = verify. Trust Policy File Path. 
    #trustStore: # string. Required when command = verify. Trust Store Folder Path. 
  # Advanced Configuration
    #signatureFormat: 'cose' # 'cose' | 'jws'. Optional. Use when command = sign && command = sign || command = verify. Signature Format. Default: cose.
    #allowReferrersAPI: false # boolean. Optional. Use when command = sign || command = verify. [Experimental] Allow Referrers API. Default: false.
  # Plugin Configuration
    #plugin: 'azureKeyVault' # 'azureKeyVault'. Required when command = sign. Plugin. Default: azureKeyVault.
    #akvPluginVersion: '1.1.0' # string. Required when plugin = azureKeyVault && command = sign. Plugin Version. Default: 1.1.0.
    #azurekvServiceConection: # string. Optional. Use when plugin = azureKeyVault && command = sign. Azure Key Vault service connection. 
    #keyid: # string. Required when plugin = azureKeyVault && command = sign. Key ID. 
    #caCertBundle: # string. Optional. Use when plugin = azureKeyVault && command = sign. Certificate Bundle File Path. 
    #selfSigned: false # boolean. Optional. Use when plugin = azureKeyVault && command = sign. Self-signed Certificate. Default: false.

Entradas

command - Comando a executar
string. Obrigatório. Valores permitidos: install, , signverify. Valor predefinido: install.

Especifica o modo de comando da tarefa.

  • install - O install comando deteta o sistema operativo atual e a arquitetura para transferir a CLI de Notação correspondente a partir das versões do GitHub. Também verifica a soma de verificação do ficheiro transferido relativamente ao ficheiro dourado na ./data pasta e adiciona Notação ao PATH.
  • sign - O sign comando transfere o plug-in Notation selecionado, valida a soma de verificação e, em seguida, chama a CLI de Notação para assinar.
  • check - O verify comando transfere o arquivo de fidedignidade e a política de confiança do repositório de código do utilizador para a pasta de configuração notação, conforme exigido pela CLI de Notação. Em seguida, invoca a CLI de Notação para efetuar a verificação.

isCustomVersion - Versão Personalizada
boolean. Opcional. Utilize quando command = install. Valor predefinido: false.

Especifique true para fornecer uma versão personalizada de Notação para a tarefa ao especificar um URL de transferência para a versão personalizada na url propriedade.


version - Versão
string. Necessário quando command = install && isCustomVersion = false. Valor predefinido: 1.1.0.

A versão da Notação a instalar. Exemplo: 1.0.0, 1, 1.0, 1.0.0.


url - Transferir URL
string. Necessário quando command = install && isCustomVersion = true.

O URL para uma versão personalizada da Notação a utilizar, por exemplo: https://github.com/notaryproject/notation/releases/download/v1.0.0/notation_1.0.0_linux_amd64.tar.gz.


checksum - Soma de verificação
string. Necessário quando command = install && isCustomVersion = true.

A soma de verificação SHA-256 do ficheiro transferido.


artifactRefs - Referências de artefactos
string. Opcional. Utilize quando command = verify || command = sign.

Referências de artefactos de contentor para assinatura. Se não for especificada, a tarefa utiliza a referência de artefacto da tarefa push anterior do Docker. Exemplo: <registry name>/<repository name>@<digest>. Várias referências de artefactos têm de estar separadas por vírgulas.


signatureFormat - Formato de Assinatura
string. Opcional. Utilize quando command = sign && command = sign || command = verify. Valores permitidos: cose, jws. Valor predefinido: cose.

Formato de envelope de assinatura.


allowReferrersAPI - [Experimental] Permitir API de Referenciadores
boolean. Opcional. Utilize quando command = sign || command = verify. Valor predefinido: false.

Utilize a API Referrers para assinar assinaturas, se não forem suportadas (devolve 404), contingência para o esquema de etiqueta Referenciadores.


plugin - Plug-in
string. Necessário quando command = sign. Valores permitidos: azureKeyVault (Plug-in do Azure Key Vault). Valor predefinido: azureKeyVault.


akvPluginVersion - Versão do Plug-in
string. Necessário quando plugin = azureKeyVault && command = sign. Valor predefinido: 1.1.0.

A versão do plug-in do Azure Key Vault a instalar. Veja a página notation-azure-kv releases para obter as versões disponíveis.


azurekvServiceConection - Ligação do serviço Key Vault do Azure
string. Opcional. Utilize quando plugin = azureKeyVault && command = sign.

Selecione a subscrição do Azure para o cofre de chaves se preferir utilizar a ligação de serviço para autenticação.


keyid - ID da Chave
string. Necessário quando plugin = azureKeyVault && command = sign.

O ID da Chave é a chave ou identificador de certificado do Azure Key Vault.


caCertBundle - Caminho do Ficheiro do Pacote de Certificados
string. Opcional. Utilize quando plugin = azureKeyVault && command = sign.

O ficheiro do pacote de certificados com todos os certificados intermédios e raiz, a partir do certificado de raiz, segue a ordem na cadeia de certificados.


selfSigned - Certificado Autoassinado
boolean. Opcional. Utilize quando plugin = azureKeyVault && command = sign. Valor predefinido: false.

Se o certificado é um certificado autoassinado.


trustPolicy - Caminho do Ficheiro da Política de Confiança
string. Necessário quando command = verify.

O caminho para o ficheiro de política de confiança relativo ao repositório. Exemplo: ./path/to/trust-policy.json.


trustStore - Caminho da Pasta do Arquivo de Fidedignidade
string. Necessário quando command = verify.

O caminho para o diretório que contém o arquivo de fidedignidade em relação ao repositório. Exemplo: ./path/to/truststore/.


Opções de controlo de tarefas

Todas as tarefas têm opções de controlo para além das entradas de tarefas. Para obter mais informações, veja Opções de controlo e propriedades de tarefas comuns.

Variáveis de saída

Nenhum.

Observações

A tarefa Notação pede à CLI de Notação que execute operações de assinatura e verificação. A CLI de notação é uma ferramenta utilizada para assinar e verificar os artefactos ou imagens do contentor do Docker. Ao assinar um artefacto, Notation assina o descritor de manifesto exclusivo do artefacto e anexa a assinatura ao mesmo repositório. Ao verificar um artefacto, Notation obtém a assinatura do repositório e valida-a no certificado no arquivo de fidedignidade.

Pré-requisitos

  • Esta tarefa requer acesso à rede pública para transferir a CLI de Notação e o plug-in notation do Azure Key Vault a partir das versões do Github.
  • SO do Agente Suportado: Linux x64/ARM64, Windows x64, macOS x64/ARM64

Comando de instalação de notação

O install comando deteta o sistema operativo e a arquitetura atuais para transferir a CLI de Notação correspondente a partir das versões do GitHub. Também verifica a soma de verificação do ficheiro transferido relativamente ao ficheiro dourado na ./data pasta e adiciona Notação ao PATH.

Comando Sinal de notação

O sign comando transfere o plug-in notation selecionado, valida a soma de verificação e, em seguida, chama a CLI de Notação para assinar.

Comando De verificação de notação

O verify comando transfere o arquivo de fidedignidade e a política de confiança do repositório de código do utilizador para a pasta Configuração de notação, conforme exigido pela CLI de Notação. Em seguida, invoca a CLI de Notação para efetuar a verificação.

Requisitos

Requisito Description
Tipos de pipeline YAML, Compilação clássica, Versão clássica
É executado em Agente, DeploymentGroup
Exigências Nenhuma
Capacidades Esta tarefa não satisfaz quaisquer exigências para tarefas subsequentes na tarefa.
Restrições de comandos Qualquer
Variáveis de tabelas definidas Qualquer
Versão do agente 2.144.0 ou superior
Categoria da tarefa Utilitário