O GitHub introduziu o Artifact Attestations, um recurso de assinatura e verificação de software baseado no Sigstore que protege a integridade das compilações de software nos fluxos de trabalho do GitHub Actions. Artifiact Attestations agora está disponível em uma versão beta pública.
Anunciado em 2 de maio, o Artifact Attestations permite que os mantenedores do projeto criem uma “trilha de papel infalsificável e infalsificável” que vincula os artefatos de software ao processo que os criou. “Os consumidores downstream desses metadados podem usá-los como base para novas verificações de segurança e validade por meio de avaliações de políticas por meio de ferramentas como Rego e Cue”, escreveu o GitHub no anúncio.
O suporte de verificação inicialmente será baseado no GitHub CLI, mas será expandido para trazer os mesmos controles para o ecossistema Kubernetes ainda este ano. Powering Artifact Attestations é o projeto de código aberto da Sigstore para assinar e verificar artefatos de software.
Os Atestados de Artefato ajudam a reduzir a complexidade da implantação de infraestrutura de chave pública, depositando confiança na segurança de uma conta GitHub, disse GitHub. Isso é feito assinando um documento com um par de chaves temporário. Uma chave pública é anexada a um certificado associado à identidade da carga de trabalho de um sistema de build. A chave privada não sai da memória do processo e é descartada imediatamente após a assinatura. Isso difere de outras abordagens de assinatura que dependem de identidades humanas e chaves de longa duração, disse o GitHub.
A configuração de atestados de artefato é feita adicionando YAML a um fluxo de trabalho do GitHub Actions para criar um atestado e instalando a ferramenta GitHub CLI para verificá-lo.