GitHub ha introducido Artifact Attestations, una función de verificación y firma de software basada en tienda de firmas que protege la integridad del software incorporado Acciones de GitHub flujos de trabajo. Artifact Attestations ahora está disponible en una versión beta pública.
Anunciado el 2 de mayo, Artifact Attestations permite a los mantenedores de proyectos crear un “rastro en papel a prueba de manipulaciones e imperdible” que vincula los artefactos de software con el proceso que los creó. “Los consumidores intermedios de estos metadatos pueden utilizarlos como base para nuevas comprobaciones de seguridad y validez mediante evaluaciones de políticas mediante herramientas como rego y Señal”, escribió GitHub en el anuncio.
El soporte de verificación inicialmente se basará en CLI de GitHub, pero esto se ampliará para llevar los mismos controles al ecosistema de Kubernetes a finales de este año. Powering Artifact Attestations es el proyecto de código abierto de Sigstore para firmar y verificar artefactos de software.
Artifact Attestations ayuda a reducir la complejidad de implementar infraestructura de clave pública al confiar en la seguridad de una cuenta de GitHub, dijo GitHub. Esto se hace firmando un documento con un par de claves temporales. Se adjunta una clave pública a un certificado asociado con la identidad de la carga de trabajo de un sistema de compilación. La clave privada no sale de la memoria del proceso y se descarta inmediatamente después de la firma. Esto difiere de otros enfoques de firma que se basan en identidades humanas y claves de larga duración, dijo GitHub.
La configuración de Atestación de artefactos se realiza agregando YAML a un flujo de trabajo de GitHub Actions para crear una atestación e instalando el Herramienta CLI de GitHub para verificarlo.
Copyright © 2024 IDG Communications, Inc.