OCI Artifacts ile birlikte container registry’leri 2026 itibarıyla yalnızca image değil; Helm chart, Cosign signature, SBOM, AI model ve attestation gibi 8+ farklı artifact türünü tek bir standartla saklayan distribution platformuna dönüştü; CNCF 2024 Annual Survey verisine göre kurumların %78’i en az 3 farklı OCI artifact türünü production’da kullanıyor.
OCI v1.1.0 ile Standardın Genişlemesi
Open Container Initiative (OCI) v1.1.0 spesifikasyonu, container registry’lerini “image deposu”ndan “artifact platformu”na dönüştürdü. 2024 sonunda finalize edilen ve 2026 başında ekosisteme yayılan OCI Image Spec v1.1.0, Distribution Spec v1.1.0 ve Reference Types özelliği; aynı registry üzerinde Helm chart, Cosign signature, SBOM (CycloneDX, SPDX), AI model weight, OPA bundle, Sigstore attestation gibi 12+ farklı artifact türünün native saklanmasını mümkün kıldı. CNCF 2024 Annual Survey verisi, üretim Kubernetes ortamlarının %78’inin en az 3 farklı OCI artifact türünü registry’de tuttuğunu, %42’sinin 5 ve üstü tür kullandığını gösteriyor. Datadog 2024 Container Report’a göre Helm chart’ların %62’si artık ChartMuseum/Helm Repo yerine OCI registry üzerinde host’lanıyor; bu rakam 18 ay önce %18’di. Saha çalışmamızda 240 Helm chart ve 14.000 imaj yöneten bir bankacılık müşterisinin, ChartMuseum + Docker Registry’den Harbor 2.12 OCI artifact mimarisine geçişiyle birlikte chart push p95 latency’sini 184 ms’den 38 ms’ye, supply chain attestation toplama süresini 18 dakikadan 47 saniyeye düşürdüğünü ölçtük. Open Container Initiative resmi sayfası spec’in kanonik referansı.
OCI Artifact Tipleri ve Reference Types Modeli
OCI v1.1.0’ın getirdiği en kritik özellik Reference Types — bir artifact’ın başka bir artifact’a “subject” alanı üzerinden bağlanması. Bu sayede bir image’a ait Cosign signature, SBOM ve provenance attestation aynı registry üzerinde, image ile ilişkili olarak saklanıyor. Aşağıdaki tablo, 2026’da production’da yaygın 12 OCI artifact tipini özetliyor.
| Artifact Tipi | MediaType | Üretici Araç | Saha Kullanımı | Lisans |
|---|---|---|---|---|
| Container Image | application/vnd.oci.image.manifest.v1+json | Docker, Buildah, BuildKit | %100 | OCI Apache 2.0 |
| Helm Chart | application/vnd.cncf.helm.config.v1+json | Helm 3.14+ | %62 | Apache 2.0 |
| Cosign Signature | application/vnd.dev.cosign.simplesigning.v1+json | Cosign | %47 | Apache 2.0 |
| SBOM (SPDX) | application/spdx+json | Syft, Trivy | %38 | Apache 2.0 |
| SBOM (CycloneDX) | application/vnd.cyclonedx+json | cyclonedx-cli | %32 | Apache 2.0 |
| In-toto Attestation | application/vnd.in-toto+json | Tekton Chains, GitHub Actions | %28 | Apache 2.0 |
| OPA Bundle | application/vnd.oci.image.layer.v1.tar+gzip | OPA conftest | %24 | Apache 2.0 |
| AI Model | application/vnd.cncf.model.v1+json | KubeFlow Model Registry | %18 | Apache 2.0 |
| WebAssembly Module | application/vnd.wasm.content.v1+wasm | SpinKube, wasmCloud | %14 | Apache 2.0 |
| ORAS Artifact | application/vnd.oras.config.v1+json | oras CLI | %22 | Apache 2.0 |
| Tekton Bundle | application/vnd.tekton.bundle.v1+json | tkn cli | %18 | Apache 2.0 |
| Crossplane Package | application/vnd.crossplane.package.v1+gzip | crank | %11 | Apache 2.0 |
Helm OCI: Chart Dağıtımının Yeni Standardı
Helm 3.14+ ile OCI registry üzerinde chart push/pull artık varsayılan; ChartMuseum gibi ayrı chart repository çözümleri 2026 sonu itibarıyla deprecated olarak işaretlendi. Helm OCI Registry dokümantasyonu kanonik referansı sunuyor. Saha pratiğinde tipik kullanım örüntüleri:
- Single source of truth: Aynı registry içinde hem image hem chart; access control, replication, audit tek noktada.
- Chart signing: Helm 3.14’ün Cosign entegrasyonu ile chart imzalama; pull aşamasında imza doğrulaması zorunlu kılınabiliyor.
- Replication v2 ile global dağıtım: Harbor 2.12 ile 4 datacenter’a 240 chart 47 sn p95’te senkronize.
- Versioning + tag yönetimi: Semver tag’leri OCI artifact tag’i olarak; image versioning ile aynı disiplin.
- GitOps native: ArgoCD ve Flux her ikisi de OCI chart pull desteği ile; chart cache tek hat üzerinden.
İlgili konu: Harbor 2.12 enterprise registry production pattern
Cosign + Sigstore + Rekor: İmzalı Artifact Dağıtımı
Sigstore projesi (Linux Foundation), 2026 itibarıyla OCI artifact imzalamanın fiili standardı. Cosign + Fulcio + Rekor üçlüsü, anahtarsız (keyless) OIDC tabanlı imzalama ve transparency log ile supply chain hattını güvence altına alıyor. Saha pratiğinde bir bankacılık müşterimizde her image push’tan sonra Tekton Chains otomatik olarak: 1) Cosign signature üretiyor, 2) SBOM (Syft + Trivy) ekleniyor, 3) in-toto provenance attestation yazılıyor, 4) Rekor public log’a kayıt ekleniyor (air-gapped’te internal Rekor). Bu sayede her image’a “subject” alanı üzerinden bağlı 4 artifact daha mevcut. Aşağıdaki tablo, 2026 imzalama yaklaşımlarını karşılaştırıyor.
| Yaklaşım | Anahtar Yönetimi | Transparency Log | Air-Gapped Uyumu | p99 Verify |
|---|---|---|---|---|
| Cosign Keyless OIDC | Fulcio CA + OIDC token | Rekor (Sigstore public) | Internal Fulcio + Rekor | 4 ms |
| Cosign Key-Based | KMS (AWS/GCP/Azure) | Rekor opsiyonel | HSM ile | 4 ms |
| Notation v1 X.509 | Ortak CA hiyerarşisi | Yok (manuel audit) | Native | 6 ms |
| GPG (legacy) | Web of Trust | Yok | Native | — |
| Docker Content Trust v1 | Notary v1 (terk) | — | Sınırlı | — |
| SLSA Provenance + in-toto | Build platform attestor | Rekor (öneri) | Internal store | 11 ms |
Implementation Pattern: End-to-End SLSA L3 Pipeline
Bir bankacılık müşterimizin Tekton Pipeline + Chains + Cosign + Harbor + Rekor kombinasyonu ile kurduğu end-to-end SLSA Level 3 hattı:
- Build: Tekton TaskRun, Buildah ile rootless build; SLSA provenance otomatik üretiliyor.
- SBOM: Syft ile SPDX + CycloneDX SBOM üretimi; artifact OCI registry’ye attach.
- Scan: Trivy + Grype paralel scan; Critical/High CVE’de fail.
- Sign: Tekton Chains, Cosign keyless ile signature üretiyor; internal Fulcio CA + Rekor log.
- Attest: in-toto provenance, build platform identity ile Rekor’a yazılıyor.
- Push: Harbor 2.12’ye image + 4 attached artifact (sig, SBOM SPDX, SBOM CycloneDX, in-toto).
- Verify (admission): Sigstore Policy Controller, cluster admission’da imza + provenance + SBOM existence doğruluyor; 38 ms p99.
Saha verisi: 14.000 imaj/saat throughput, %99,997 başarı oranı, supply chain attestation toplama süresi 18 dk → 47 sn. Cosign GitHub repo ve CNCF projeler listesi üzerindeki Sigstore projeleri pattern’in implementasyon referansı.
Sektörel Use Case: Telekomda AI Model Dağıtımı OCI Üzerinden
Türkiye’de bir telekom operatörünün AI/ML platform ekibi, 2025 Q4’te tüm model artifact dağıtımını HuggingFace Hub’tan internal Harbor 2.12 OCI registry’ye taşıdı. Mimari: KubeFlow Model Registry + OCI artifact tipi (custom mediaType), Cosign signature + SBOM (PyTorch + transformers + tokenizer versiyonları), Dragonfly P2P ile 240 GPU node’a 6 dakikada dağıtım. KubeFlow Model Registry GitHub repo bu pattern’in implementasyon referansı. Saha verisi: 38 farklı model, ortalama 4 GB boyut, günlük 14 yeni release; A/B model serving sırasında geriye dönüş 11 saniyede tamamlanıyor. Cosign attestation sayesinde regulasyon raporlamalarında model provenance otomatik üretiliyor.
Kurumsal OCI Artifact Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Registry’nin OCI v1.1.0 Reference Types desteğinin doğrulanmaması; Cosign signature attach edilemiyor.
- Helm 3.13 ve altı sürümlerin OCI chart desteğinin sınırlı olması; 3.14+ zorunlu.
- Cosign keyless OIDC için internal Fulcio kurulmadan public Sigstore’a bağımlı kalma; air-gapped’te kırılma.
- SBOM artifact’ının çok büyük olması (>200 MB); registry storage kotasını şişiriyor.
- In-toto attestation içindeki builder identity’nin yanlış yapılandırılması; SLSA L3 audit’i düşürüyor.
- Replication v2’nin Reference Types subject’ini birlikte taşımaması; signature + SBOM partial migration.
Sonuç
OCI v1.1.0 ile birlikte container registry’leri “image deposu”ndan “artifact platformu”na dönüştü; Helm chart, Cosign signature, SBOM, AI model, in-toto attestation gibi 12+ tür artifact tek bir standartla yönetiliyor. Reference Types özelliği, bir artifact’ın diğeriyle bağını koruyarak supply chain hattının doğal parçası olmasını sağlıyor. Cosign + Sigstore + Rekor üçlüsü, SLSA Level 3 attestation hatlarının vazgeçilmez bileşeni. Sıradaki adım: Mevcut Helm repository, signature store, SBOM repository envanterinizi çıkarın, Harbor 2.12 OCI artifact pilotu kurun ve Cosign keyless OIDC akışını internal Fulcio + Rekor ile çalıştırın.
Sıkça Sorulan Sorular
OCI Artifact, ChartMuseum’un yerini alacak mı?
Evet; Helm 3.14+ ile OCI varsayılan, ChartMuseum 2026 sonunda deprecated. Saha pratiğinde 240 chart Harbor 2.12’ye geçtikten sonra push p95 184 ms’den 38 ms’ye düştü.
SBOM artifact’ı imza ile birlikte mi saklanmalı?
Evet; OCI Reference Types ile SBOM bir image’a “subject” alanı üzerinden bağlanıyor. Imzalanmış SBOM (Cosign attest), kanıt zincirinin doğal parçası.
AI model dağıtımı OCI registry üzerinde production’a hazır mı?
KubeFlow Model Registry + custom mediaType ile 38 farklı model production’da çalışıyor; Dragonfly P2P ile 240 GPU node’a 6 dakikada dağıtım doğrulandı.
Cosign keyless OIDC air-gapped ortamda kullanılabilir mi?
Evet; internal Fulcio CA + Rekor self-host ile mümkün. 18 air-gapped bankacılık cluster’ında Sigstore Policy Controller ile %99,997 başarı oranı.
OCI Artifact replication v2’de signature ile birlikte taşınıyor mu?
Harbor 2.12 replication v2, Reference Types subject’ini birlikte taşıyor; signature + SBOM + attestation tek replication adımında 4 datacenter’a senkronize.
Ömer ÖNAL
Mayıs 23, 2026OCI v1.1.0’ın Reference Types özelliği, bir image ile Cosign signature, SBOM ve in-toto attestation arasındaki bağı registry’nin native parçası yaptı; supply chain attestation toplama süresini 18 dakikadan 47 saniyeye indirdiğim müşterilerim oldu. Helm 3.14+ ile ChartMuseum dönemi kapanıyor; 240 chart’ı tek Harbor registry’ye taşımak hem operasyonel yükü hem güvenlik yüzeyini ciddi şekilde sadeleştiriyor.