O Que É Build Provenance?
Build provenance é um registro à prova de adulteração que descreve exatamente como um artifact de software foi produzido: qual commit de origem, qual sistema de build, quais entradas e quais passos. Tipicamente assinado e anexado ao artifact, ele permite que consumidores verifiquem que um binário veio de um pipeline confiável e não de um atacante. É central para frameworks modernos de supply-chain security como o SLSA.
Por que isso importa
Saber o que é um binário não basta; você precisa saber de onde ele veio. A provenance responde a isso com evidência verificável, então uma dependência comprometida ou um build malicioso podem ser detectados. O GitHub Actions pode gerar attestations de provenance para artifacts automaticamente.
Conceitos relacionados
- O SLSA define requisitos de provenance por nível
- Frequentemente expressa como uma attestation in-toto
- SBOMs complementam a provenance listando componentes
Guias relacionados
What Is SLSA?SLSA is a security framework that defines graduated levels of build-integrity assurance to harden software su…
What Is an SBOM (Software Bill of Materials)?A software bill of materials (SBOM) is a complete inventory of the components and dependencies that make up a…
What Is a Reproducible Build?A reproducible build produces bit-for-bit identical output every time from the same source, letting anyone in…