Provenance-Attestation
Was ist Provenance-Attestation?
Provenance-AttestationSignierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.
Eine Provenance-Attestation beantwortet die Frage "Woher stammt dieses Artefakt?" mit kryptografischen Belegen statt mit Konventionsvertrauen. Standardformate sind in-toto-Attestationen und SLSA Provenance v1, die Quell-Commit, Build-Plattform, Rezept, Materialien und Zeitstempel erfassen und vom Builder signiert werden. Konsumenten prüfen Attestationen gegen eine Policy: vertrauenswürdige Builder-Identität, erlaubte Quell-Repos, erwarteter Workflow, SLSA-Level usw. Sigstore Cosign, GitHub Actions, Tekton Chains, GitLab CI und SLSA-konforme Build-Plattformen erzeugen Attestationen automatisch. Provenance ist eine zentrale Kontrolle, um manipulierte Binaries zu erkennen und Regulierung wie die US-Executive Order 14028 oder den EU Cyber Resilience Act einzuhalten.
● Beispiele
- 01
Per GitHub Reusable Workflow erzeugte SLSA Provenance v1, beim Deployment verifiziert.
- 02
Kyverno-Policy, die für jedes Container-Image eine Provenance eines vertrauenswürdigen Builders verlangt.
● Häufige Fragen
Was ist Provenance-Attestation?
Signierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Provenance-Attestation?
Signierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.
Wie schützt man sich gegen Provenance-Attestation?
Schutzmaßnahmen gegen Provenance-Attestation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Provenance-Attestation?
Übliche alternative Bezeichnungen: SLSA-Provenance, Build-Provenance.