in-totoアテステーションとは?
in-totoアテステーションは、標準的なエンベロープに包まれたJSONドキュメントで、subject(digestで識別されるアーティファクト)をpredicate(プロヴェナンス、テスト結果、脆弱性スキャンといった主張)に結び付けます。このフォーマットは、SLSAプロヴェナンスを含む多くのサプライチェーンツールが話す共通言語です。何が主張されているかを、それがどう署名されるかから分離します。
なぜ重要か
共通のアテステーションフォーマットがあれば、署名・保存・検証のツールがそれぞれ独自のスキーマを発明するのではなく相互運用できます。subjectがdigestであるため、アテステーションを別のアーティファクトへこっそり移し替えることはできません。CIシステムはpipelineの各ステージでin-toto声明を発行し、監査可能なチェーンを構築します。
一般的なpredicateの種類
- buildを記述するSLSAプロヴェナンス
- アーティファクトに対するテストまたはスキャンの結果
- subjectのdigestに結び付けられたSBOM参照
関連ガイド
What Is a Build Provenance Attestation?A build provenance attestation is signed metadata describing how, where, and from what source an artifact was…
What Is Sigstore?Sigstore is an open-source project for signing software artifacts using short-lived keys and identity, with a…
What Is cosign verify?cosign verify is the Sigstore command that checks an artifact's signature and attestations against an expecte…