Skip to content
Latchkey

O Que É uma Attestation?

Uma attestation é uma afirmação assinada criptograficamente sobre um artifact, vinculando metadados, como sua procedência de build, conteúdo ou resultados de testes, ao artifact de forma verificável. O formato in-toto é um padrão comum para expressar essas afirmações. Os consumidores verificam a assinatura e a afirmação antes de confiar no artifact.

Por que isso importa

Attestations transformam afirmações como esta imagem foi construída a partir daquele commit por este pipeline em evidências que um sistema downstream pode verificar automaticamente. Elas são o bloco de construção dos frameworks de segurança de supply chain, permitindo que motores de política admitam apenas artifacts cuja procedência e varreduras atestem sua segurança.

Conceitos relacionados

  • Frequentemente expressa no formato in-toto
  • Procedência é um tipo específico de attestation
  • Verificada por admission controllers antes do deploy

Guias relacionados