Provenance Predicate - Definição do Glossário de CI/CD
Um provenance predicate é a parte legível por máquina de uma attestation de build que diz quem construiu um artifact, a partir de qual fonte e como, para que os consumidores possam verificar sua origem.
Um provenance predicate é a declaração estruturada dentro de uma attestation de build que registra como um artifact foi produzido, incluindo o builder, o commit de origem e os parâmetros de build, seguindo formatos como SLSA e in-toto.
A proveniência é a metade do "como foi construído" da segurança de supply-chain de software, complementando o "o que há dentro" de um SBOM.
O que ele registra
Um predicate no estilo SLSA captura a identidade do builder, o repositório e o commit de origem, o ponto de entrada (workflow) e as entradas resolvidas. Um verificador confere isso contra a política antes de confiar no artifact.
Em CI
O GitHub Actions pode gerar proveniência assinada para as saídas de build; verificá-la mais adiante bloqueia artifacts que não vieram do seu pipeline confiável.