Attestation - CI/CD用語集の定義
attestation とは、artifact に関する署名付きの記述で、その provenance、SBOM、テスト結果などを指し、暗号学的な digest によって artifact に結び付けられるため、後から主張を検証できます。
CIにおいて
GitHub Actions は actions/attest-build-provenance で build provenance の attestation を生成し、Sigstore 経由で署名できます。利用者は gh attestation verify で検証します。
関連ガイド
Provenance - CI/CD Glossary DefinitionProvenance: Provenance is verifiable metadata describing how an artifact was built: the source commit, builde…
Sigstore - CI/CD Glossary DefinitionSigstore: Sigstore is an open-source project for signing and verifying software artifacts using short-lived,…
Code Signing - CI/CD Glossary DefinitionCode Signing: Code signing is applying a cryptographic signature to a binary or package so recipients can ver…