هدف GitHub امنیت زنجیره تامین نرم افزار است

گواهی‌های مصنوع GitHub، بر اساس Sigstore، یکپارچگی مصنوعات نرم‌افزار را در گردش‌های کاری GitHub Actions امضا و تأیید می‌کند.

GitHub گواهی Artifact را معرفی کرده است، یک ویژگی امضا و تأیید نرم‌افزار مبتنی بر Sigstore که از یکپارچگی ساخت‌های نرم‌افزار در گردش‌های کاری GitHub Actions محافظت می‌کند. گواهی مصنوعی اکنون در نسخه بتا عمومی در دسترس است.

۲ مه اعلام شد گواهی مصنوعات به نگهبانان پروژه اجازه می‌دهد تا یک «ردپای کاغذی غیرقابل جعل و ضد دستکاری» ایجاد کنند که مصنوعات نرم‌افزاری را به فرآیند ایجاد آن‌ها مرتبط می‌کند. «مصرف کنندگان پایین دستی این ابرداده می توانند از طریق ارزیابی خط مشی از طریق ابزارهایی مانند Rego و Cue.” /p>

پشتیبانی از تأیید در ابتدا بر اساس GitHub CLI خواهد بود، اما این پشتیبانی برای آوردن همان کنترل‌ها به اکوسیستم Kubernetes در اواخر سال جاری گسترش خواهد یافت. Powering Artifact Attestations پروژه منبع باز Sigstore برای امضا و تأیید مصنوعات نرم افزار است.

GitHub گفت که گواهی مصنوعات با اعتماد به امنیت یک حساب GitHub به کاهش پیچیدگی استقرار زیرساخت کلید عمومی کمک می کند. این کار از طریق امضای یک سند با یک جفت کلید موقت انجام می شود. یک کلید عمومی به گواهی مرتبط با هویت حجم کاری یک سیستم ساخت متصل است. کلید خصوصی حافظه پردازشی را ترک نمی کند و بلافاصله پس از امضا حذف می شود. GitHub گفت که این با سایر رویکردهای امضا که متکی به هویت انسانی و کلیدهای طولانی مدت است، متفاوت است.

تنظیم گواهی‌های مصنوع با افزودن YAML به یک گردش کاری GitHub Actions برای ایجاد یک گواهی و نصب ابزار GitHub CLI< انجام می‌شود. /a> برای تأیید آن.