Provenance Predicate - CI/CD用語集の定義
provenance predicateはbuild attestationの機械可読な部分で、誰が、どのソースから、どのようにartifactをbuildしたかを示し、利用者がその出所を検証できるようにします。
provenance predicateは、build attestationの中にある構造化された主張で、artifactがどのように生成されたかを記録します。builder、ソースのcommit、buildパラメータを含み、SLSAやin-totoといった形式に従います。
provenanceはソフトウェアsupply-chainセキュリティの「どうbuildされたか」の半分であり、SBOMの「中に何が入っているか」を補完します。
記録される内容
SLSA形式のpredicateは、builderのアイデンティティ、ソースのリポジトリとcommit、エントリポイント(workflow)、解決された入力を捕捉します。検証側はartifactを信頼する前に、これらをポリシーと照合します。
CIでの位置づけ
GitHub Actionsはbuild出力に対して署名済みのprovenanceを生成できます。下流でそれを検証すれば、信頼するpipeline由来でないartifactをブロックできます。
関連ガイド
Reproducible Container Build - CI/CD Glossary DefinitionReproducible Container Build: A reproducible container build produces byte-for-byte identical image layers fr…
SBOM Diff - CI/CD Glossary DefinitionSBOM Diff: An SBOM diff compares two software bills of materials to show which components were added, removed…
Image Digest Pinning - CI/CD Glossary DefinitionImage Digest Pinning: Image digest pinning references a container image by its immutable content digest (for…