The GitHub Blog
·
引入Artifact Attestations——现已公开测试版
💡
原文英文,约1800词,阅读约需7分钟。
📝
内容提要
GitHub公开了Artifact Attestations的公测版,该功能允许项目维护者创建一个不可篡改的文件链,将其软件与创建过程关联起来。该功能由Sigstore提供支持,Sigstore是一个用于签名和验证软件构件的开源项目。通过在GitHub Actions工作流中添加YAML并使用GitHub CLI工具进行验证,可以轻松设置Artifact Attestations。该功能旨在保护软件供应链的完整性,减少供应链攻击的风险。GitHub计划在今年晚些时候将该功能扩展到Kubernetes生态系统中。
🎯
关键要点
- GitHub推出Artifact Attestations公测版,旨在保护软件供应链的完整性。
- Artifact Attestations允许项目维护者创建不可篡改的文件链,关联软件与创建过程。
- 该功能由Sigstore支持,旨在减少供应链攻击的风险。
- 用户只需在GitHub Actions工作流中添加YAML并使用GitHub CLI工具进行验证即可轻松设置。
- Artifact Attestations支持将SBOM与最终工件关联,增强软件安全性。
- GitHub已成为根证书颁发机构,简化了签名和验证过程。
- 公有和私有仓库的Artifact Attestations支持不同的用户体验,确保信息安全。
- Artifact Attestations提供了不可伪造的保证,确保执行的工件确实是构建的工件。
- GitHub计划在未来扩展该功能至Kubernetes生态系统,并支持更多类型的工件认证。
➡️
