先决条件
在开始本指南之前,应该为你的生成生成项目证明。 请参阅“使用项目证明确立生成的来源”。
步骤 1:下载证明捆绑包
首先,从证明 API 中获取证明捆绑包。
可以使用在线计算机的以下命令执行此操作:
gh attestation download PATH/TO/YOUR/BUILD/ARTIFACT-BINARY -R ORGANIZATION_NAME/REPOSITORY_NAME
gh attestation download PATH/TO/YOUR/BUILD/ARTIFACT-BINARY -R ORGANIZATION_NAME/REPOSITORY_NAME
该命令的输出如下所示:
Wrote attestations to file sha256:ae57936def59bc4c75edd3a837d89bcefc6d3a5e31d55a6fa7a71624f92c3c3b.jsonl.
Any previous content has been overwritten
The trusted metadata is now available at sha256:ae57936def59bc4c75edd3a837d89bcefc6d3a5e31d55a6fa7a71624f92c3c3b.jsonl
步骤 2:下载受信任的根
接下来,从受信任的根获取密钥内容。
项目证明将 Sigstore Public Good 实例用于公共存储库,将 GitHub 的 Sigstore 实例用于专用存储库。 可以使用一个命令来获取两个受信任的根:
gh attestation trusted-root > trusted_root.jsonl
gh attestation trusted-root > trusted_root.jsonl
在离线环境中更新受信任的根信息
最佳做法是在将新签名内容导入离线环境时,生成新的 trusted_root.jsonl 文件。
trusted_root.jsonl 中的密钥内容没有内置的期满日,因此在生成受信任的根文件之前签名的任何内容将继续成功验证。 生成文件后签名的任何内容都将验证,直到 Sigstore 实例轮换其密钥内容,这通常会每年发生几次。 你不知道自上次生成受信任的根文件以来是否已撤销密钥内容。
步骤 3:执行离线验证
现在,你已准备好离线验证项目。
应导入到离线环境中:
- GitHub CLI
- 你的项目
- 捆绑包文件
- 受信任的根文件
然后,可以使用以下命令执行离线验证:
gh attestation verify PATH/TO/YOUR/BUILD/ARTIFACT-BINARY -R ORGANIZATION_NAME/REPOSITORY_NAME --bundle sha256:ae57936def59bc4c75edd3a837d89bcefc6d3a5e31d55a6fa7a71624f92c3c3b.jsonl --custom-trusted-root trusted_root.jsonl
gh attestation verify PATH/TO/YOUR/BUILD/ARTIFACT-BINARY -R ORGANIZATION_NAME/REPOSITORY_NAME --bundle sha256:ae57936def59bc4c75edd3a837d89bcefc6d3a5e31d55a6fa7a71624f92c3c3b.jsonl --custom-trusted-root trusted_root.jsonl