Build Metadata File とは?
Build metadata file は、pipeline が出力する小さなファイルで、build の詳細、つまりソースの commit、build のタイムスタンプ、pipeline の実行識別子などの事実を記録します。artifact と一緒に移動するため、後で調べる人は誰でもその出所をたどれます。signed provenance とは別ですが、しばしばその入力になります。
なぜ重要か
埋め込まれた build の事実がないと、稼働中の artifact をソースまでたどるのは推測になります。metadata file は、その系譜を明示的でクエリ可能にします。
関連ガイド
What Is a Version Manifest?A version manifest is a file recording the exact versions of components in a release, giving one authoritativ…
What Is Signed Provenance?Signed provenance is a cryptographically signed record of how an artifact was built, so consumers can verify…
What Is an SBOM Attachment?An SBOM attachment is a software bill of materials bound to a release artifact, listing its components so con…