Skip to content
Latchkey

in-totoアテステーションとは?

in-totoアテステーションは、標準的なエンベロープに包まれたJSONドキュメントで、subject(digestで識別されるアーティファクト)をpredicate(プロヴェナンス、テスト結果、脆弱性スキャンといった主張)に結び付けます。このフォーマットは、SLSAプロヴェナンスを含む多くのサプライチェーンツールが話す共通言語です。何が主張されているかを、それがどう署名されるかから分離します。

なぜ重要か

共通のアテステーションフォーマットがあれば、署名・保存・検証のツールがそれぞれ独自のスキーマを発明するのではなく相互運用できます。subjectがdigestであるため、アテステーションを別のアーティファクトへこっそり移し替えることはできません。CIシステムはpipelineの各ステージでin-toto声明を発行し、監査可能なチェーンを構築します。

一般的なpredicateの種類

  • buildを記述するSLSAプロヴェナンス
  • アーティファクトに対するテストまたはスキャンの結果
  • subjectのdigestに結び付けられたSBOM参照

関連ガイド