GitHub ofrece Artifact Attestations, la función de firma y verificación de software basada en Sigstore, disponible en versión beta pública, que protege la integridad del desarrollo de software en los flujos de trabajo de Actions. Con esta solución, los gerentes de proyectos pueden crear un "rastro de papel a prueba de manipulaciones" que vincula los artefactos de software con el proceso que los creó.

“Los consumidores posteriores de estos metadatos pueden usarlos como base para verificaciones adicionales de seguridad y validez mediante evaluaciones de políticas a través de herramientas como Rego y Cue”, explicó GitHub el 2 de mayo cuando anunció la función. Inicialmente, la compatibilidad con la verificación se basará en la CLI de GitHub, pero se ampliará para incorporar las mismas verificaciones al ecosistema de Kubernetes a finales de este año.

Un par de llaves temporales

Artifact Attestations aprovecha el proyecto de código abierto Sigstore para firmar y verificar artefactos de software. “Artifact Attestations simplifica los procesos de implementación de PKI al confiar en la seguridad de una cuenta de GitHub”, afirmó el proveedor. La función se basa en la firma de un documento con un par de claves temporales. Se adjunta una clave pública a un certificado asociado con la identidad de la carga de trabajo de un sistema de compilación.

"A diferencia de otros métodos de firma que dependen de identidades humanas y claves de larga duración, la clave privada no abandona la memoria del proceso y se elimina inmediatamente después de la firma", afirmó GitHub. La configuración de las atestaciones de artefactos se realiza agregando YAML a una carga de trabajo de acciones para crear una atestación e instalando la herramienta CLI para verificarla.