Skip to content
Latchkey

O Que É uma in-toto Attestation?

Uma in-toto attestation é um documento JSON em um envelope padrão que vincula um sujeito (um artifact identificado por digest) a um predicado (uma afirmação como proveniência, um resultado de teste ou um scan de vulnerabilidades). O formato é a linguagem comum que muitas ferramentas de cadeia de suprimentos falam, incluindo a proveniência SLSA. Ele separa o que está sendo afirmado de como aquilo é assinado.

Por que isso importa

Um formato de attestation compartilhado significa que as ferramentas de assinatura, armazenamento e verificação interoperam em vez de cada uma inventar um schema. Como o sujeito é um digest, uma attestation não pode ser silenciosamente transferida para um artifact diferente. Sistemas de CI emitem declarações in-toto em cada estágio do pipeline para construir uma cadeia auditável.

Tipos de predicado comuns

  • Proveniência SLSA descrevendo o build
  • Resultados de teste ou scan para um artifact
  • Referências de SBOM vinculadas ao digest do sujeito

Guias relacionados