twdps/circleci-executor-builder

镜像概述

企业使用CircleCI时，构建执行器是一项常见任务。本镜像作为专用资源，预配置并维护了镜像测试框架、安全扫描和溯源工具，可提供一致、高质量的构建体验。

注意：随着月度定期构建的采用，已移除github-release-notes npm工具。

核心功能与特性

配置测试工具

• bats：Bash自动化测试框架
• hadolint：Dockerfile lint工具

安全扫描工具

• snyk：开源安全扫描工具
• trivy：容器和依赖项漏洞扫描器
• grype：软件依赖项漏洞扫描工具

软件溯源工具

• cosign：容器签名和验证工具
• syft：软件物料清单（SBOM）生成工具
• oras：OCI制品存储工具

有关特定软件包版本和已知漏洞的信息，请查看发布制品中的构建和CVE扫描日志。

签名与软件物料清单

镜像签名验证

本镜像使用cosign进行签名，可通过twplatformlabs的公钥验证：

cosign verify --key cosign.pub twdps/circleci-executor-builder:alpine-2025.04

软件物料清单（SBOM）

每个发布的镜像均使用syft生成SBOM，并作为证明添加。

验证证明

cosign verify-attestation --type [***] --key cosign.pub twdps/circleci-executor-builder:alpine-2025.04

下载并提取SBOM

# 下载证明文件
cosign download attestation twdps/circleci-executor-builder:alpine-2025.04 > attestation.json  

# 解码payload
jq -r '.payload' attestation.json | base64 -d > envelope.json

# 提取SBOM
jq '.predicate' envelope.json > sbom.spdx.json

注意：Dockerhub Scout似乎不支持非Docker证明。

标签方案

本镜像采用以下标签规则：

twdps/circleci-executor-builder:-<YYYY.MM>
twdps/circleci-executor-builder:-stable
twdps/circleci-executor-builder:-edge

<YYYY.MM>

• 镜像的发布版本标签，格式为4位年份.2位月份（如2025.04表示2025年4月的月度标签）。
• 每月基于当时的基础镜像和相关包版本生成，提供可预测的固定构建点。
• 具体镜像和包版本信息可查看流水线制品中的构建日志。
• 偶尔会发布临时补丁版本，格式如2025.04.1等带编号的版本。

stable

• 通用标签，始终指向最新的月度发布镜像。
• 通常用于其他定期构建，不建议用于流水线；流水线应固定到特定月度标签构建。

edge

• 基础镜像的最新开发版本，从main分支的HEAD构建。
• 用作包含最新变更的测试版本，供测试使用。

使用方法

标签选择建议

• 流水线应固定到特定月度标签（如alpine-2025.04），避免使用stable标签。
• 测试最新变更时可使用edge标签。

镜像签名验证

# 验证镜像签名
cosign verify --key cosign.pub twdps/circleci-executor-builder:alpine-2025.04

软件物料清单提取

# 下载证明文件
cosign download attestation twdps/circleci-executor-builder:alpine-2025.04 > attestation.json  

# 解码payload并提取SBOM
jq -r '.payload' attestation.json | base64 -d > envelope.json
jq '.predicate' envelope.json > sbom.spdx.json