Аттестация происхождения (Provenance Attestation)
Что такое Аттестация происхождения (Provenance Attestation)?
Аттестация происхождения (Provenance Attestation)Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.
Provenance Attestation отвечает на вопрос «откуда взялся этот артефакт?» криптографическими доказательствами, а не общепринятым доверием. Стандартные форматы — аттестации in-toto и SLSA Provenance v1, фиксирующие коммит исходного репозитория, сборочную платформу, рецепт, материалы и метки времени и подписанные сборщиком. Потребитель проверяет аттестации по политике: доверенная идентичность сборщика, разрешённые репозитории, ожидаемый workflow, уровень SLSA и т. п. Sigstore Cosign, GitHub Actions, Tekton Chains, GitLab CI и SLSA-совместимые платформы сборки автоматически генерируют такие аттестации. Provenance — ключевой контрол для выявления подменённых бинарников и выполнения требований, например, Указа США 14028 и Cyber Resilience Act ЕС.
● Примеры
- 01
SLSA Provenance v1, сгенерированный reusable workflow GitHub и проверяемый при деплое.
- 02
Политика Kyverno, требующая provenance от доверенного сборщика для каждого контейнерного образа.
● Частые вопросы
Что такое Аттестация происхождения (Provenance Attestation)?
Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Аттестация происхождения (Provenance Attestation)?
Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.
Как защититься от Аттестация происхождения (Provenance Attestation)?
Защита от Аттестация происхождения (Provenance Attestation) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Аттестация происхождения (Provenance Attestation)?
Распространённые альтернативные названия: SLSA provenance, Provenance сборки.