アテステーションとは?
アテステーションは、artifactに関する暗号的に署名された主張で、buildのプロベナンス、内容、テスト結果といったメタデータを、検証可能な形でartifactに結び付けます。これらの主張を表現するにはin-toto形式が一般的な標準です。利用者はartifactを信頼する前に、署名と主張を検証します。
なぜ重要か
アテステーションは、このイメージはあのcommitからこのパイプラインでbuildされた、といった主張を、downstreamのシステムが自動的に検証できる証拠に変えます。これらはサプライチェーンセキュリティのフレームワークを構成する基本要素であり、プロベナンスとスキャンが安全性を証明するartifactだけをポリシーエンジンが受け入れられるようにします。
関連する概念
- 多くの場合in-toto形式で表現される
- プロベナンスはアテステーションの一種
- deploy前にadmission controllerによって検証される
関連ガイド
What Is Build Provenance?Build provenance is signed metadata describing how an artifact was built, including its source, inputs, and b…
What Is Keyless Signing?Keyless signing signs artifacts using short-lived certificates tied to a workload identity, so there are no l…
What Is an Admission Controller?An admission controller intercepts requests to a cluster and validates or mutates them against policy before…