build provenanceとは?
build provenanceは、ソフトウェアartifactがどう生成されたかを正確に記述する改ざん検知可能な記録です。どのソースcommit、どのビルドシステム、どの入力、どのステップかを示します。通常は署名されartifactに添付され、消費者はバイナリが攻撃者ではなく信頼できるpipelineから来たことを検証できます。SLSAのような現代のsupply-chain securityフレームワークの中核です。
なぜ重要か
バイナリが何であるかを知るだけでは不十分で、どこから来たかを知る必要があります。provenanceはそれに検証可能な証拠で答えるため、侵害された依存関係や不正なビルドを検出できます。GitHub Actionsはartifactのprovenance attestationを自動生成できます。
関連する概念
- SLSAはレベルごとにprovenanceの要件を定義する
- しばしばin-toto attestationとして表現される
- SBOMはコンポーネントを列挙してprovenanceを補完する
関連ガイド
What Is SLSA?SLSA is a security framework that defines graduated levels of build-integrity assurance to harden software su…
What Is an SBOM (Software Bill of Materials)?A software bill of materials (SBOM) is a complete inventory of the components and dependencies that make up a…
What Is a Reproducible Build?A reproducible build produces bit-for-bit identical output every time from the same source, letting anyone in…