O Que É Artifact Attestation? Declarações Assinadas Sobre um Build
Um artifact attestation é uma declaração assinada que afirma algo verificável sobre um artefato de build, como a forma como ele foi construído ou o que ele contém.
Uma attestation é uma afirmação criptograficamente assinada e vinculada a um artefato específico. "Esta imagem foi construída a partir deste commit por este pipeline." "Este binário tem este SBOM." "Este pacote passou nestas verificações." Como é assinada e vinculada ao digest do artefato, qualquer um pode verificar a afirmação sem confiar no canal por onde ela chegou.
Attestation vs provenance
Provenance é um tipo de attestation: uma afirmação sobre como o artefato foi construído. Attestation é a ideia mais ampla, uma declaração assinada de qualquer fato verificável sobre o artefato, incluindo SBOMs, resultados de testes ou resultados de scan.
O que é atestado
- Provenance de build: a fonte, o builder e o processo.
- Um SBOM listando os componentes do artefato.
- Resultados de scan de vulnerabilidade ou de política.
- Confirmação de que as verificações exigidas passaram.
Como ela se vincula ao artefato
Uma attestation referencia o artefato pelo seu digest de conteúdo, não pelo nome ou pela tag. Isso significa que ela só permanece válida para os bytes exatos para os quais foi criada; troque o artefato e a attestation não corresponde mais.
Verificando no momento do deploy
Um gate de deploy pode exigir attestations válidas antes de deixar um artefato passar: signer correto, digest correspondente, afirmações esperadas. Isso transforma "esperamos que esta imagem seja legítima" em "nós a verificamos criptograficamente".
Produzindo attestations na CI
Plataformas de build emitem attestations à medida que o artefato é produzido, assinando-as com a identidade do builder, muitas vezes sem chaves por meio de um serviço como o Sigstore. Um builder confiável e isolado torna essas attestations significativas, porque as afirmações descrevem um build que o atacante não poderia ter adulterado.
Principais conclusões
- Um artifact attestation é uma afirmação assinada e verificável vinculada ao digest de um artefato.
- Provenance é um tipo de attestation; SBOMs e resultados de scan são outros.
- Gates de deploy podem exigir attestations válidas antes de aceitar um artefato.