GitHub推出Artifact Attestations功能，允许用户在GitHub Actions中创建构建的可信性和完整性保证，确保供应链安全和满足监管要求。用户可以为各种类型的构件创建证明，如可执行文件、软件包、容器注册表或压缩文件。文章提供了配置GitHub Actions工作流程以进行Artifact Attestations和以云原生方式验证构建的步骤。还讨论了如何使用GitHub的准入控制器在Kubernetes集群中验证软件包和镜像。

GitHub公开了Artifact Attestations的公测版，该功能允许项目维护者创建一个不可篡改的文件链，将其软件与创建过程关联起来。该功能由Sigstore提供支持，Sigstore是一个用于签名和验证软件构件的开源项目。通过在GitHub Actions工作流中添加YAML并使用GitHub CLI工具进行验证，可以轻松设置Artifact Attestations。该功能旨在保护软件供应链的完整性，减少供应链攻击的风险。GitHub计划在今年晚些时候将该功能扩展到Kubernetes生态系统中。