Informationen zu verknüpften Artefakten

Mit dem linked artifacts page können Sie die Builds Ihrer Organisation auf GitHub prüfen und priorisieren, unabhängig davon, wo die Artefakte gespeichert sind.

In diesem Artikel

Die linked artifacts page bietet eine einheitliche Ansicht der Software-Artefakte, die deine Organisation mit GitHub Actions erstellt, wie z. B. Container-Images, Pakete oder Builds deines Produktionscodes.

Auf der Seite wird gezeigt, wie ein Artefakt erstellt wurde, wo es gespeichert oder ausgeführt wird und welche Compliance- und Sicherheitsmetadaten dem Artefakt zugeordnet sind.

Teams in Ihrer Organisation können die verwenden, um:

  • Priorisiere Warnhinweise von GitHub Advanced Security Funktionen danach, ob die entdeckten Schwachstellen in der Produktion ausgeführt werden oder dem Internet zur Verfügung gestellt werden.
  • Schnell Artefakte mit Erstellungsdetails, Speicherorten und verantwortlichen Teams verbinden.
  • Einhaltung der Compliance durch Exportieren von auditierbaren Nachweisen der Provenienz und Integrität Ihrer Artefakte

Welche Artefakte werden auf dem linked artifacts page angezeigt?

Die linked artifacts page ist einzigartig für jede Organisation. Es enthält Metadaten für Artefakte, die mit GitHub Actions in den Repositories Ihrer Organisation erstellt wurden. Es werden keine Artefakte angezeigt, die Ihre Organisation von anderen Orten verwendet, z. B. Open Source-Abhängigkeiten.

Artefakteinträge werden von Ihrer Organisation mithilfe einer öffentlichen API oder einer Integration in eine externe Registrierung hochgeladen. Die linked artifacts page speichert die Artefaktdateien nicht selbst. Sie stellt lediglich eine autorisierende Quelle für die Metadaten bereit, die den einzelnen Artefakten zugeordnet sind.

Da ein Artefakt nicht auf GitHub gespeichert werden muss, um in den linked artifacts pageangezeigt zu werden, können Sie die linked artifacts page zusammen mit Ihrer bevorzugten Paketregistrierung verwenden, z. B. JFrog Artifactory oder GitHub Packages.

Welche Metadaten sind enthalten?

Die linked artifacts page kombiniert Daten aus zwei verschiedenen A-Eintrags-Typen: Storage-Datensätze und Bereitstellungs-Datensätze. Diese Datensätze werden mit verschiedenen API-Endpunkten oder Integrationen hochgeladen.

Speicherdatensätze

Speicherdatensätze enthalten das Repository, das den Quellcode des Artefakts enthält, die Registrierung, in der das Artefakt gespeichert ist, und alle Nachweise, die die Integrität und Provenienz des Artefakts belegen. Sie können diese Daten verwenden, um schnell das eigene Team eines Artefakts zu finden und Details zu erstellen.

Screenshot einer Artefaktseite. Hervorgehobene Felder: Speicherregistrierung, Artefakt-Repository, Quell-Repository.

Das Artefakt Repository ist nicht zwingend erforderlich. Es bezieht sich auf das Konzept eines Repositorys in bestimmten externen Paketregistrierungen: einem Ort, an dem mehrere Pakete gruppiert werden können. Im Gegensatz dazu bezieht sich das Quell-Repository auf das GitHub Repository, in dem das Artefakt erstellt wird. Das Quell-Repository ist obligatorisch und wird automatisch erkannt, wenn das Artefakt über einen Nachweis für die Build-Provenienz verfügt.

Weitere Informationen zu Nachweisen und SLSA-Ebenen finden Sie unter Artefakt-Bestätigungen.

Bereitstellungsprotokolle

Bereitstellungsdatensätze umfassen die Umgebung, in der das Artefakt bereitgestellt wird, und alle Laufzeitrisiken (z. B. "vertrauliche Daten" oder "Internet verfügbar gemacht") im Zusammenhang mit dem Artefakt. Sie können diese Daten verwenden, um Sicherheitswarnungen basierend auf der Bedrohungsebene Ihrer Organisation und Ihren Verbrauchern zu filtern.

Screenshot einer Artefaktseite. Hervorgehobene Felder: die Liste "Bereitstellungen", einschließlich der Tags "Prod", "vertrauliche Daten" und "pacific-east".

Hinweis

Bereitstellungsdatensätze enthalten keine Bereitstellungsaktivitäten aus dem Bereitstellungsdashboard eines Repositorys, das aus einer anderen Quelle stammt. Weitere Informationen findest du unter Bereitstellungsaktivitäten für Dein Repository anzeigen.

Wie passt die linked artifacts page in meine Prozesse?

In diesem Beispielworkflow wird gezeigt, wie das linked artifacts page mit anderen GitHub Funktionen und externen Systemen integriert wird.

  1. Ein Entwickler committet Code in ein GitHub Repository, in dem der Code für ein Softwarepaket definiert ist.

  2. Ein GitHub Actions Arbeitsablauf im Repository führt automatisch folgende Aktionen aus:

    1. Erstellt das Paket.
    2. Pushes das Paket in die Registrierung deiner Wahl, wie z. B. GitHub Packages oder JFrog Artifactory.
    3. Erstellt einen kryptografisch signierten Provenienznachweis, der das Paket mit dem Repository, dem Commit und dem Workflow verknüpft, die verwendet wurden, um das Paket zu erstellen.
    4. Stellt das Paket in einer Staging- oder Produktionsumgebung bereit. Dein Bereitstellungssystem kann so gesteuert werden, dass nur nachgewiesene Artefakte in der Produktion bereitgestellt werden können, z. B. mit dem Kubernetes Admissions Controller.

  3. Metadaten für das Paket, wie das verknüpfte Repository, Bescheinigungen sowie die Bereitstellungshistorie, werden in die linked artifacts page hochgeladen.

  4. Anhand der Daten aus der linked artifacts page triagiert ein Sicherheitsverantwortlicher Code-Scanning- und Dependabot-Warnungen und erstellt eine Kampagne für Warnungen, die die Produktionsumgebungen betreffen oder ein bestimmtes Laufzeitrisiko darstellen.

  5. Wenn eine Überwachung erforderlich ist, exportiert ein Mitglied des Complianceteams SBOMs, Provenienzdetails und Bereitstellungseinträge für alle verknüpften Artefakte Ihrer Organisation aus einer einzigen Quelle.

Nächste Schritte

Um Datensätze zur linked artifacts page deiner Organisation hinzuzufügen, siehe ** Speicher- und Bereitstellungsdaten in das linked artifacts page hochladen.

Um die linked artifacts page für deine Organisation anzuzeigen, siehe Überprüfung der Builds Ihrer Organisation auf den linked artifacts page.