Skip to content
Latchkey

ビルドプロヴェナンスアテステーション(Build Provenance Attestation)とは?

ビルドプロヴェナンスアテステーションは、アーティファクトがどのように生成されたか、すなわちソースのコミット、ビルダーのアイデンティティ、ビルドパラメータ、結果として得られるdigestを記録した署名済みの声明です。これにより下流の利用者は、あるバイナリが本当に主張するpipelineと入力から来たものかを確認できます。プロヴェナンスはSLSAスタイルのサプライチェーン保証の背骨です。

なぜ重要か

プロヴェナンスがなければ、公開されたアーティファクトは名前の付いた単なるバイトの列にすぎず、信頼できるbuildに結び付けるものが何もありません。CI内部で生成されたアテステーションはアーティファクトのdigestをworkflowの実行に結び付けるため、改ざんされたり密輸されたりしたbuildは検証に失敗します。マネージドrunner上では、プラットフォームが生成するプロヴェナンスが、jobが隔離された改ざんされていないインフラ上で実行されたことを証明します。

典型的な内容

  • ソースリポジトリとコミットのdigest
  • ビルダーのアイデンティティとビルドのエントリーポイント
  • ビルドパラメータと環境
  • アテステーション対象となる出力アーティファクトのdigest

関連ガイド