Provenance Attestation - CI/CD用語集の定義
provenance attestationは、artifactがどのようにビルドされたかを記録した署名済みのメタデータです。ソースコミット、ビルダー、buildパラメータ、消費されたマテリアルを記録します。in-totoとSLSAのprovenance形式が一般的な標準です。
何を答えるか
provenanceによって、利用者は、間に手動の手順を挟むことなく、イメージが特定のコミットから特定の信頼されたビルダーによってビルドされたことを検証できます。これがSLSAのbuildレベルの裏付けとなる証拠です。
GitHub Actionsにおいて
docker/build-push-actionとactions/attest-build-provenanceはbuild中にSLSA provenanceを出力でき、その結果をイメージに添付して、後でcosignやgh attestation verifyで検証できます。
関連ガイド
Attestation - CI/CD Glossary DefinitionAn attestation is a signed statement about an artifact - its provenance, scan results, or test status - that…
Supply Chain Security - CI/CD Glossary DefinitionSupply Chain Security: Supply chain security is the practice of protecting every step that produces and deliv…
Cosign Signing - CI/CD Glossary DefinitionCosign Signing: Cosign is a tool from the Sigstore project that signs and verifies container images and other…