ビルドプロヴェナンスアテステーション(Build Provenance Attestation)とは?
ビルドプロヴェナンスアテステーションは、アーティファクトがどのように生成されたか、すなわちソースのコミット、ビルダーのアイデンティティ、ビルドパラメータ、結果として得られるdigestを記録した署名済みの声明です。これにより下流の利用者は、あるバイナリが本当に主張するpipelineと入力から来たものかを確認できます。プロヴェナンスはSLSAスタイルのサプライチェーン保証の背骨です。
なぜ重要か
プロヴェナンスがなければ、公開されたアーティファクトは名前の付いた単なるバイトの列にすぎず、信頼できるbuildに結び付けるものが何もありません。CI内部で生成されたアテステーションはアーティファクトのdigestをworkflowの実行に結び付けるため、改ざんされたり密輸されたりしたbuildは検証に失敗します。マネージドrunner上では、プラットフォームが生成するプロヴェナンスが、jobが隔離された改ざんされていないインフラ上で実行されたことを証明します。
典型的な内容
- ソースリポジトリとコミットのdigest
- ビルダーのアイデンティティとビルドのエントリーポイント
- ビルドパラメータと環境
- アテステーション対象となる出力アーティファクトのdigest
関連ガイド
What Is an in-toto Attestation?An in-toto attestation is a standardized signed statement format that binds a subject artifact to a predicate…
What Is cosign verify?cosign verify is the Sigstore command that checks an artifact's signature and attestations against an expecte…
What Is the Rekor Transparency Log?Rekor is Sigstore's append-only transparency log that records signing events so signatures can be publicly ve…