Skip to content
Latchkey

build provenanceとは?

build provenanceは、ソフトウェアartifactがどう生成されたかを正確に記述する改ざん検知可能な記録です。どのソースcommit、どのビルドシステム、どの入力、どのステップかを示します。通常は署名されartifactに添付され、消費者はバイナリが攻撃者ではなく信頼できるpipelineから来たことを検証できます。SLSAのような現代のsupply-chain securityフレームワークの中核です。

なぜ重要か

バイナリが何であるかを知るだけでは不十分で、どこから来たかを知る必要があります。provenanceはそれに検証可能な証拠で答えるため、侵害された依存関係や不正なビルドを検出できます。GitHub Actionsはartifactのprovenance attestationを自動生成できます。

関連する概念

  • SLSAはレベルごとにprovenanceの要件を定義する
  • しばしばin-toto attestationとして表現される
  • SBOMはコンポーネントを列挙してprovenanceを補完する

関連ガイド