Signed Provenance とは?
Signed provenance は、artifact の build 元を記述する provenance ステートメントで、builder によって暗号的に署名されています。署名により、消費者は記録が本物で改ざんされておらず、期待される build システムから来たことを確認できます。これは、出所の主張を単なる断言ではなく検証可能な証拠に変えます。
なぜ重要か
署名されていない provenance は偽造や改変が可能で、ほとんど保護になりません。署名は、build の主張を信頼された鍵に結び付け、頼れるものにします。
関連ガイド
What Is a Provenance Attestation Step?A provenance attestation step is a pipeline stage that records how an artifact was built and from what inputs…
What Is Attestation Verification?Attestation verification is the step where a consumer checks a signed attestation against policy before trust…
What Is an Artifact Signing Key?An artifact signing key is the private key a pipeline uses to sign build outputs, so consumers can verify the…