GitHub führt Artifact Attestations ein, um die Integrität von Software-Builds zu schützen
GitHub hat Artifact Attestations eingeführt, eine Funktion zur Software-Signierung und -Verifizierung, die auf Sigstore basiert und die Integrität von Software-Builds in GitHub Actions-Workflows schützt. Artifiact Attestations ist jetzt als öffentliche Beta verfügbar.
Angekündigt am 2. Mai, ermöglicht Artifact Attestations Projektbetreuern, einen „fälschungssicheren, unverfälschbaren Papierweg“ zu erstellen, der Software-Artefakte mit dem Prozess verknüpft, der sie erstellt hat. „Nachgelagerte Verbraucher dieser Metadaten können sie als Grundlage für neue Sicherheits- und Gültigkeitsprüfungen durch Richtlinienbewertungen über Tools wie Rego und Cue verwenden“, schrieb GitHub in der Ankündigung.
Die Verifizierungsunterstützung basiert zunächst auf GitHub CLI, wird aber später in diesem Jahr erweitert, um dieselben Kontrollen in das Kubernetes-Ökosystem zu bringen. Die Artifact Attestations werden durch das Sigstore Open-Source-Projekt zur Signierung und Verifizierung von Software-Artefakten unterstützt.
Artifact Attestations hilft, die Komplexität der Bereitstellung einer Public Key Infrastructure zu reduzieren, indem sie Vertrauen in die Sicherheit eines GitHub-Kontos setzt, so GitHub. Dies geschieht durch das Signieren eines Dokuments mit einem temporären Schlüsselpaar. Ein öffentlicher Schlüssel ist an ein Zertifikat gebunden, das mit der Arbeitslastidentität eines Build-Systems verbunden ist. Der private Schlüssel verlässt nicht den Prozessspeicher und wird sofort nach dem Signieren verworfen. Dies unterscheidet sich von anderen Ansätzen zur Signierung, die auf menschlichen Identitäten und langfristigen Schlüsseln beruhen, so GitHub.
Die Einrichtung von Artifact Attestations erfolgt durch das Hinzufügen von YAML zu einem GitHub Actions-Workflow, um eine Attestation zu erstellen, und die Installation des GitHub CLI-Tools zur Überprüfung.
