Skip to content
Latchkey

Atestacao de Proveniencia - Definicao do Glossario de CI/CD

Uma atestacao de proveniencia e um metadado assinado que registra como um artifact foi construido: o commit de origem, o construtor, os parametros de build e os materiais consumidos. Os formatos de proveniencia in-toto e SLSA sao os padroes comuns.

O que ela responde

A proveniencia permite que um consumidor verifique que uma imagem foi construida a partir de um commit especifico, por um construtor confiavel especifico, sem etapas manuais no meio. Essa e a evidencia por tras dos niveis de build do SLSA.

No GitHub Actions

O docker/build-push-action e o actions/attest-build-provenance podem emitir proveniencia SLSA durante um build, e o resultado pode ser anexado a imagem e verificado posteriormente com o cosign ou gh attestation verify.

Guias relacionados