The GitHub Blog
·
引入Artifact Attestations——现已公开测试版
💡
原文英文,约1800词,阅读约需7分钟。
📝
内容提要
GitHub公开了Artifact Attestations的公测版,该功能允许项目维护者创建一个不可篡改的文件链,将其软件与创建过程关联起来。该功能由Sigstore提供支持,Sigstore是一个用于签名和验证软件构件的开源项目。通过在GitHub Actions工作流中添加YAML并使用GitHub CLI工具进行验证,可以轻松设置Artifact Attestations。该功能旨在保护软件供应链的完整性,减少供应链攻击的风险。GitHub计划在今年晚些时候将该功能扩展到Kubernetes生态系统中。
🎯
关键要点
- GitHub推出Artifact Attestations公测版,旨在保护软件供应链的完整性。
- Artifact Attestations允许项目维护者创建不可篡改的文件链,关联软件与创建过程。
- 该功能由Sigstore支持,旨在减少供应链攻击的风险。
- 用户只需在GitHub Actions工作流中添加YAML并使用GitHub CLI工具进行验证即可轻松设置。
- Artifact Attestations支持将SBOM与最终工件关联,增强软件安全性。
- GitHub已成为根证书颁发机构,简化了签名和验证过程。
- 公有和私有仓库的Artifact Attestations支持不同的用户体验,确保信息安全。
- Artifact Attestations提供了不可伪造的保证,确保执行的工件确实是构建的工件。
- GitHub计划在未来扩展该功能至Kubernetes生态系统,并支持更多类型的工件认证。
❓
延伸问答
Artifact Attestations的主要功能是什么?
Artifact Attestations允许项目维护者创建不可篡改的文件链,将软件与创建过程关联,保护软件供应链的完整性。
如何在GitHub Actions中设置Artifact Attestations?
用户只需在GitHub Actions工作流中添加YAML配置,并使用GitHub CLI工具进行验证即可轻松设置Artifact Attestations。
Artifact Attestations如何减少供应链攻击的风险?
Artifact Attestations通过提供可验证的文件链,帮助维护者减少项目暴露于供应链攻击的风险,增强软件安全性。
GitHub如何成为根证书颁发机构?
GitHub通过建立X.509证书颁发机构和时间戳服务器,管理整个证书链,从而成为根证书颁发机构。
Artifact Attestations支持哪些类型的工件认证?
Artifact Attestations支持将SBOM与最终工件关联,并计划在未来扩展至Kubernetes生态系统,支持更多类型的工件认证。
如何验证生成的工件的Artifact Attestation?
使用GitHub CLI工具,输入命令`gh attestation verify`并提供工件名称和组织名即可验证生成的工件的Artifact Attestation。
➡️
