O Que É Signed Provenance?
A signed provenance é uma declaração de provenance, descrevendo a origem de build de um artifact, que foi assinada criptograficamente pelo builder. A assinatura permite que um consumidor confirme que o registro é autêntico e não adulterado, e que veio do sistema de build esperado. Ela transforma alegações de origem em evidência verificável, e não em meras afirmações.
Por que isso importa
Provenance não assinada pode ser forjada ou modificada, oferecendo pouca proteção. Assinar vincula as alegações de build a uma chave confiável para que possam ser usadas com confiança.
Guias relacionados
What Is a Provenance Attestation Step?A provenance attestation step is a pipeline stage that records how an artifact was built and from what inputs…
What Is Attestation Verification?Attestation verification is the step where a consumer checks a signed attestation against policy before trust…
What Is an Artifact Signing Key?An artifact signing key is the private key a pipeline uses to sign build outputs, so consumers can verify the…