Attestation Verification とは?
Attestation verification は、artifact がデプロイまたは使用される前に、build provenance などの署名された attestation を検証するプロセスです。署名が有効であること、そして artifact が期待される builder とソースから来ているといった主張がポリシーを満たすことを確認します。検証に失敗すると、artifact は拒否されます。
なぜ重要か
attestation を生成しても、それを強制するものがなければ意味がありません。使用時点での検証こそが、supply-chain ポリシーを満たさない artifact を実際にブロックするものです。
関連ガイド
What Is Signed Provenance?Signed provenance is a cryptographically signed record of how an artifact was built, so consumers can verify…
What Is a Policy Enforcement Point?A policy enforcement point is the place in a pipeline where a policy decision is actually applied, allowing o…
What Is a Provenance Attestation Step?A provenance attestation step is a pipeline stage that records how an artifact was built and from what inputs…