O Que É uma Build Provenance Attestation?
Uma build provenance attestation é uma declaração assinada que registra como um artifact foi produzido: o commit de origem, a identidade do builder, os parâmetros do build e o digest resultante. Ela permite que um consumidor downstream confirme que um binário realmente veio do pipeline e das entradas que alega. A proveniência é a espinha dorsal da garantia de cadeia de suprimentos no estilo SLSA.
Por que isso importa
Sem proveniência, um artifact publicado é apenas bytes com um nome; nada o vincula a um build confiável. Uma attestation gerada dentro do CI vincula o digest do artifact à execução do workflow, de modo que builds adulterados ou introduzidos de forma clandestina falham na verificação. Em runners gerenciados, a proveniência gerada pela plataforma prova que um job rodou em infraestrutura isolada e não adulterada.
Conteúdo típico
- Repositório de origem e digest do commit
- Identidade do builder e ponto de entrada do build
- Parâmetros e ambiente do build
- O digest do artifact de saída sendo atestado