cnb-rs registry tag provenance
cnb-rs registry tag provenance <PKG_TYPE> -r <REGISTRY> -n <NAME> -t <TAG>获取制品标签的出生证明(provenance / SBOM / 供应链安全)。
参数
<PKG_TYPE>: 制品类型(docker / npm / pypi / maven / helm / container / conan)
选项
-r, --registry <REGISTRY>: 制品库路径(组织/制品库)-n, --name <NAME>: 制品名-t, --tag <TAG>: Tag 名
输出
直接 JSON(Provenance 是按 pkg_type 区分的 union 类型,无统一表格列;JSON 也方便对接 SBOM 工具)。
典型场景
- 验证镜像来源(cosign verify-attestation)
- 生成 SBOM 报告(syft / spdx)
- SLSA Level 3 验证(构建来源 + 完整性)
示例
bash
# 拿 docker 镜像的 provenance
cnb-rs registry tag provenance docker \
-r my-org/my-registry -n nginx -t latest \
| jq
# 重定向到文件
cnb-rs registry tag provenance npm \
-r my-org/npm-pkgs -n @company/pkg -t 1.0.0 \
> provenance.jsonAPI
GET ${CNB_API_ENDPOINT}/{slug}/-/packages/{type}/{name}/-/tag/{tag}/provenance
另请参阅
- cnb-rs registry tag — 列标签
- cnb-rs registry tag detail — 标签详情