Os Atestados de Artefatos do GitHub, para garantir a integridade dos artefatos criados dentro da plataforma GitHub Actions CI/CD, agora estão disponíveis para o público em geral.

A disponibilidade geral foi anunciada em 25 de junho. Ao usar Atestados de Artefato nos fluxos de trabalho do GitHub Actions, os desenvolvedores podem melhorar a segurança e proteger contra ataques à cadeia de suprimentos e modificações não autorizadas, disse o GitHub. Como parte do anúncio, o GitHub também introduziu o Kubernetes Policy Controller, que permite aos desenvolvedores validar atestados diretamente no Kubernetes como uma camada adicional de segurança.

Desenvolvido pelo Sigstore, um projeto de código aberto para assinatura e verificação de artefatos de software por meio de atestados, o Artifact Attestations tem como objetivo proteger uma cadeia de suprimentos de software, criando um link entre os artefatos e o processo de construção. Adicionar proveniência a um fluxo de trabalho do GitHub Actions pode ser feito invocando a nova ação attest-build-provinance com o caminho para o artefato. Isso pode então ser verificado usando o novo gh attestation verify comando.