Skip to content
Latchkey

O Que É Build Provenance?

Build provenance é um registro à prova de adulteração que descreve exatamente como um artifact de software foi produzido: qual commit de origem, qual sistema de build, quais entradas e quais passos. Tipicamente assinado e anexado ao artifact, ele permite que consumidores verifiquem que um binário veio de um pipeline confiável e não de um atacante. É central para frameworks modernos de supply-chain security como o SLSA.

Por que isso importa

Saber o que é um binário não basta; você precisa saber de onde ele veio. A provenance responde a isso com evidência verificável, então uma dependência comprometida ou um build malicioso podem ser detectados. O GitHub Actions pode gerar attestations de provenance para artifacts automaticamente.

Conceitos relacionados

  • O SLSA define requisitos de provenance por nível
  • Frequentemente expressa como uma attestation in-toto
  • SBOMs complementam a provenance listando componentes

Guias relacionados