Atestacao de Proveniencia - Definicao do Glossario de CI/CD
Uma atestacao de proveniencia e um metadado assinado que registra como um artifact foi construido: o commit de origem, o construtor, os parametros de build e os materiais consumidos. Os formatos de proveniencia in-toto e SLSA sao os padroes comuns.
O que ela responde
A proveniencia permite que um consumidor verifique que uma imagem foi construida a partir de um commit especifico, por um construtor confiavel especifico, sem etapas manuais no meio. Essa e a evidencia por tras dos niveis de build do SLSA.
No GitHub Actions
O docker/build-push-action e o actions/attest-build-provenance podem emitir proveniencia SLSA durante um build, e o resultado pode ser anexado a imagem e verificado posteriormente com o cosign ou gh attestation verify.
Guias relacionados
Attestation - CI/CD Glossary DefinitionAn attestation is a signed statement about an artifact - its provenance, scan results, or test status - that…
Supply Chain Security - CI/CD Glossary DefinitionSupply Chain Security: Supply chain security is the practice of protecting every step that produces and deliv…
Cosign Signing - CI/CD Glossary DefinitionCosign Signing: Cosign is a tool from the Sigstore project that signs and verifies container images and other…