Skip to content
Latchkey

Provenance Predicate - CI/CD用語集の定義

provenance predicateはbuild attestationの機械可読な部分で、誰が、どのソースから、どのようにartifactをbuildしたかを示し、利用者がその出所を検証できるようにします。

provenance predicateは、build attestationの中にある構造化された主張で、artifactがどのように生成されたかを記録します。builder、ソースのcommit、buildパラメータを含み、SLSAやin-totoといった形式に従います。

provenanceはソフトウェアsupply-chainセキュリティの「どうbuildされたか」の半分であり、SBOMの「中に何が入っているか」を補完します。

記録される内容

SLSA形式のpredicateは、builderのアイデンティティ、ソースのリポジトリとcommit、エントリポイント(workflow)、解決された入力を捕捉します。検証側はartifactを信頼する前に、これらをポリシーと照合します。

CIでの位置づけ

GitHub Actionsはbuild出力に対して署名済みのprovenanceを生成できます。下流でそれを検証すれば、信頼するpipeline由来でないartifactをブロックできます。

関連ガイド