Skip to content
Latchkey

Provenance Attestation - CI/CD用語集の定義

provenance attestationは、artifactがどのようにビルドされたかを記録した署名済みのメタデータです。ソースコミット、ビルダー、buildパラメータ、消費されたマテリアルを記録します。in-totoとSLSAのprovenance形式が一般的な標準です。

何を答えるか

provenanceによって、利用者は、間に手動の手順を挟むことなく、イメージが特定のコミットから特定の信頼されたビルダーによってビルドされたことを検証できます。これがSLSAのbuildレベルの裏付けとなる証拠です。

GitHub Actionsにおいて

docker/build-push-actionactions/attest-build-provenanceはbuild中にSLSA provenanceを出力でき、その結果をイメージに添付して、後でcosignやgh attestation verifyで検証できます。

関連ガイド