Les attestations d'artfact de GitHub, destinées à garantir l'intégrité des artefacts construits au sein de la plateforme CI/CD GitHub Actions, sont désormais généralement disponibles.
La disponibilité générale a été annoncée le 25 juin. En utilisant les attestations d'artefacts dans les flux de travail GitHub Actions, les développeurs peuvent améliorer la sécurité et se protéger contre les attaques de la chaîne d'approvisionnement et les modifications non autorisées, a déclaré GitHub. Dans le cadre de cette annonce, GitHub a également introduit le Kubernetes Policy Controller, qui permet aux développeurs de valider les attestations directement dans Kubernetes comme couche de sécurité supplémentaire.
Propulsé par Sigstore, un projet open source permettant de signer et de vérifier des artefacts logiciels via des attestations, Artifact Attestations est destiné à sécuriser une chaîne d'approvisionnement logicielle en créant un lien entre les artefacts et le processus de construction. L'ajout de provenance à un workflow GitHub Actions peut être effectué en appelant la nouvelle action attest-build-provenance avec le chemin d'accès à l'artefact. Cela peut ensuite être vérifié à l'aide du nouveau gh attestation verify commande.
Droits d'auteur © 2024 IDG Communications, Inc.
GIPHY App Key not set. Please check settings