Skip to content
Latchkey

O Que É Artifact Attestation? Declarações Assinadas Sobre um Build

Um artifact attestation é uma declaração assinada que afirma algo verificável sobre um artefato de build, como a forma como ele foi construído ou o que ele contém.

Uma attestation é uma afirmação criptograficamente assinada e vinculada a um artefato específico. "Esta imagem foi construída a partir deste commit por este pipeline." "Este binário tem este SBOM." "Este pacote passou nestas verificações." Como é assinada e vinculada ao digest do artefato, qualquer um pode verificar a afirmação sem confiar no canal por onde ela chegou.

Attestation vs provenance

Provenance é um tipo de attestation: uma afirmação sobre como o artefato foi construído. Attestation é a ideia mais ampla, uma declaração assinada de qualquer fato verificável sobre o artefato, incluindo SBOMs, resultados de testes ou resultados de scan.

O que é atestado

  • Provenance de build: a fonte, o builder e o processo.
  • Um SBOM listando os componentes do artefato.
  • Resultados de scan de vulnerabilidade ou de política.
  • Confirmação de que as verificações exigidas passaram.

Como ela se vincula ao artefato

Uma attestation referencia o artefato pelo seu digest de conteúdo, não pelo nome ou pela tag. Isso significa que ela só permanece válida para os bytes exatos para os quais foi criada; troque o artefato e a attestation não corresponde mais.

Verificando no momento do deploy

Um gate de deploy pode exigir attestations válidas antes de deixar um artefato passar: signer correto, digest correspondente, afirmações esperadas. Isso transforma "esperamos que esta imagem seja legítima" em "nós a verificamos criptograficamente".

Produzindo attestations na CI

Plataformas de build emitem attestations à medida que o artefato é produzido, assinando-as com a identidade do builder, muitas vezes sem chaves por meio de um serviço como o Sigstore. Um builder confiável e isolado torna essas attestations significativas, porque as afirmações descrevem um build que o atacante não poderia ter adulterado.

Principais conclusões

  • Um artifact attestation é uma afirmação assinada e verificável vinculada ao digest de um artefato.
  • Provenance é um tipo de attestation; SBOMs e resultados de scan são outros.
  • Gates de deploy podem exigir attestations válidas antes de aceitar um artefato.

Guias relacionados