The GitHub Blog
·
配置 GitHub Artifact Attestations 以实现安全的云原生交付
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
GitHub推出Artifact Attestations功能,允许用户在GitHub Actions中创建构建的可信性和完整性保证,确保供应链安全和满足监管要求。用户可以为各种类型的构件创建证明,如可执行文件、软件包、容器注册表或压缩文件。文章提供了配置GitHub Actions工作流程以进行Artifact Attestations和以云原生方式验证构建的步骤。还讨论了如何使用GitHub的准入控制器在Kubernetes集群中验证软件包和镜像。
🎯
关键要点
- GitHub推出Artifact Attestations功能,确保供应链安全和满足监管要求。
- 用户可以为各种类型的构件创建证明,包括可执行文件、软件包和容器注册表。
- 文章提供了配置GitHub Actions工作流程以进行Artifact Attestations的步骤。
- 可以通过添加attest-build-provenance动作来证明构件的来源。
- 验证构件的证明可以通过GitHub CLI命令完成。
- GitHub提供Kubernetes准入控制器,用于验证软件包和镜像的安全性。
- 安装Sigstore政策控制器以执行验证步骤,并加载GitHub的信任根和默认策略。
- 确保Kubernetes集群中运行的内容与构建的内容一致。
- 通过Helm命令安装政策控制器和信任策略,确保集群的安全性。
➡️
