О связанных артефактах

linked artifacts page помогает аудитировать и расставлять приоритеты построек вашей организации на GitHub, независимо от того, где хранятся артефакты.

В этой статье

linked artifacts page предоставляет единый вид программных артефактов, которые ваша организация строит с помощью GitHub Actions, таких как изображения контейнеров, пакеты или сборки вашего производственного кода.

На странице показано, как артефакт был создан, где он хранится или выполняется, а также какие метаданные соответствия и безопасности связаны с этим артефактом.

Команды вашей организации могут использовать linked artifacts page для:

  • Приоритизируйте оповещения от GitHub Advanced Security функций на основе того, работают ли обнаруженные уязвимости в производственном режиме или находятся в интернете
  • Быстро соединяйте артефакты с деталями сборки, местами хранения и командами владельцев
  • Соблюдайте требования, экспортируя проверяемые доказательства происхождения и целостности ваших артефактов

Какие артефакты отображаются на linked artifacts page?

linked artifacts page уникален для каждой организации. Он содержит метаданные для артефактов, созданных с использованием GitHub Actions в репозиториях вашей организации. Он не отображает артефакты, которые ваша организация потребляет из других источников, например, открытые зависимости.

Записи об артефактах загружаются вашей организацией либо с помощью публичного API, либо интеграции с внешним реестром. linked artifacts page не хранит сами файлы артефактов. Он просто предоставляет авторитетный источник метаданных, связанных с каждым артефактом.

Поскольку артефакт не обязательно храниться на GitHub, чтобы появиться в linked artifacts page, вы можете использовать linked artifacts page вместе с вашим предпочтиемым реестром пакетов, таким как JFrog Artifactory или GitHub Packages.

Какие метаданные включены?

linked artifacts page объединяет данные из двух различных типов записей: записей хранения и записей развертывания. Эти записи загружаются с помощью различных API или интеграций.

Записи хранения

Записи хранения включают хранилище с исходным кодом артефакта, реестр, где он хранется, а также любые подтверждения, подтверждающие его целостность и происхождение. Вы можете использовать эти данные, чтобы быстро найти команду, владеющую артефактом, и построить детали.

Скриншот страницы артефакта. Выделенные поля: реестр хранилища, репозиторий артефактов, репозиторий исходного кода.

Хранилище артефактов не является обязательным. Он относится к понятию репозитория в определённых внешних реестрах пакетов: места, где можно сгруппировать несколько пакетов. В отличие от этого, исходный репозиторий относится к репозиторию GitHub, где построен артефакт. Исходный репозиторий обязателен и обнаруживается автоматически, если артефакт имеет подтверждение происхождения сборки.

Для получения дополнительной информации о аттестациях и уровнях SLSA см. Аттестации артефактов.

Рекорды развертывания

Записи развертывания включают среду, в которой развёртывается артефакт, и любые риски во время выполнения (такие как «чувствительные данные» или «обнаружение интернета»), связанные с артефактом. Вы можете использовать эти данные для фильтрации оповещений безопасности по степени угрозы для вашей организации и потребителей.

Скриншот страницы артефакта. Выделенные поля: список «Развертывания», включая теги для «Prod», «чувствительные данные» и «pacific-east».

Примечание.

Записи о развертывании не включают активность развертывания из панели управления развертывания репозитория, которая поступает из другого источника. См . раздел AUTOTITLE.

Как linked artifacts page вписывается в мои процессы?

Этот пример рабочего процесса показывает, как linked artifacts page интегрируется с другими GitHub функциями и внешними системами.

  1. Разработчик коммитирует код в репозиторий GitHub, где определяется код программного пакета.

  2. A GitHub Actions workflow в репозитории автоматически:

    1. Создаёт пакет.
    2. Отправляет пакет в выбранный вами реестр, например GitHub Packages или JFrog Artifactory.
    3. Создаёт криптографически подписанное подтверждение происхождения, связывающее пакет с репозиторием, коммитом и рабочим процессом, используемыми для создания пакета.
    4. Развёртывает пакет в стадинг или продакшн-среду. Ваша система развертывания может быть закрыта так, чтобы в продакшн можно было развернуть только подтверждённые артефакты, например, с помощью Kubernetes Admissions Controller.

  3. Метаданные пакета, такие как его связанное хранилище, аттестации и история развертывания, загружаются в linked artifacts page.

  4. Используя данные из linked artifacts page, руководитель безопасности сортирует сканирование кода и оповещения Dependabot, а также создаёт кампанию для устранения оповещений, затрагивающих производственные среды или имеющих специфический риск во время выполнения.

  5. Когда требуется аудит, член команды по соблюдению экспортирует SBOM, данные происхождения и записи о развертывании всех связанных артефактов вашей организации из одного источника.

Дальнейшие шаги

Чтобы добавить записи в данные вашей организации linked artifacts page, смотрите АВТОЗАГОЛОВОК.

Чтобы просмотреть linked artifacts page для вашей организации, смотрите АВТОЗАГОЛОВОК.