Skip to content
Latchkey

Provenance Predicate - Definição do Glossário de CI/CD

Um provenance predicate é a parte legível por máquina de uma attestation de build que diz quem construiu um artifact, a partir de qual fonte e como, para que os consumidores possam verificar sua origem.

Um provenance predicate é a declaração estruturada dentro de uma attestation de build que registra como um artifact foi produzido, incluindo o builder, o commit de origem e os parâmetros de build, seguindo formatos como SLSA e in-toto.

A proveniência é a metade do "como foi construído" da segurança de supply-chain de software, complementando o "o que há dentro" de um SBOM.

O que ele registra

Um predicate no estilo SLSA captura a identidade do builder, o repositório e o commit de origem, o ponto de entrada (workflow) e as entradas resolvidas. Um verificador confere isso contra a política antes de confiar no artifact.

Em CI

O GitHub Actions pode gerar proveniência assinada para as saídas de build; verificá-la mais adiante bloqueia artifacts que não vieram do seu pipeline confiável.

Guias relacionados