Les attestations d'artfact de GitHub, destinées à garantir l'intégrité des artefacts construits au sein de la plateforme CI/CD GitHub Actions, sont désormais généralement disponibles.
La disponibilité générale a été annoncée le 25 juin. En utilisant les attestations d'artefacts dans les flux de travail GitHub Actions, les développeurs peuvent améliorer la sécurité et se protéger contre les attaques de la chaîne d'approvisionnement et les modifications non autorisées, a déclaré GitHub. Dans le cadre de cette annonce, GitHub a également introduit le Kubernetes Policy Controller, qui permet aux développeurs de valider les attestations directement dans Kubernetes comme couche de sécurité supplémentaire.
Alimenté par Sigstore, un projet open source de signature et de vérification d'artefacts logiciels via des attestations, Artifact Attestations vise à sécuriser une chaîne d'approvisionnement logicielle en créant un lien entre les artefacts et le processus de construction. L'ajout de la provenance à un flux de travail GitHub Actions peut être effectué en invoquant la nouvelle action attest-build-provenance avec le chemin d'accès à l'artefact. Cela peut ensuite être vérifié à l'aide de la nouvelle gh attestation verify commande.
Copyright © 2024 IDG Communications, Inc.
GIPHY App Key not set. Please check settings