The GitHub Blog
·
配置 GitHub Artifact Attestations 以实现安全的云原生交付
内容提要
GitHub推出Artifact Attestations功能,允许用户在GitHub Actions中创建构建的可信性和完整性保证,确保供应链安全和满足监管要求。用户可以为各种类型的构件创建证明,如可执行文件、软件包、容器注册表或压缩文件。文章提供了配置GitHub Actions工作流程以进行Artifact Attestations和以云原生方式验证构建的步骤。还讨论了如何使用GitHub的准入控制器在Kubernetes集群中验证软件包和镜像。
关键要点
- GitHub推出Artifact Attestations功能,确保供应链安全和满足监管要求。
- 用户可以为各种类型的构件创建证明,包括可执行文件、软件包和容器注册表。
- 文章提供了配置GitHub Actions工作流程以进行Artifact Attestations的步骤。
- 可以通过添加attest-build-provenance动作来证明构件的来源。
- 验证构件的证明可以通过GitHub CLI命令完成。
- GitHub提供Kubernetes准入控制器,用于验证软件包和镜像的安全性。
- 安装Sigstore政策控制器以执行验证步骤,并加载GitHub的信任根和默认策略。
- 确保Kubernetes集群中运行的内容与构建的内容一致。
- 通过Helm命令安装政策控制器和信任策略,确保集群的安全性。
延伸问答
什么是GitHub的Artifact Attestations功能?
GitHub的Artifact Attestations功能允许用户创建构件的可信性和完整性保证,以确保供应链安全和满足监管要求。
如何在GitHub Actions中配置Artifact Attestations?
在GitHub Actions工作流程中,可以通过添加attest-build-provenance动作来配置Artifact Attestations,确保构件的来源得到证明。
如何验证构件的证明?
可以通过GitHub CLI命令运行 'gh attestation verify PATH/TO/ARTIFACT -o myorganization' 来验证构件的证明。
GitHub如何帮助验证Kubernetes集群中的软件包和镜像?
GitHub提供Kubernetes准入控制器,用于验证软件包和镜像的安全性,确保只有具有可验证证明的镜像才能被部署。
使用Artifact Attestations有什么好处?
使用Artifact Attestations可以增强供应链的安全性,确保构件的来源可追溯,并满足监管合规要求。
如何安装Sigstore政策控制器以执行验证步骤?
可以通过运行 'helm install policy-controller --atomic --create-namespace --namespace artifact-attestations oci://ghcr.io/github/artifact-attestations-helm-charts/policy-controller --version v0.10.0-github5' 来安装Sigstore政策控制器。
