En un mundo donde la seguridad en la cadena de suministro digital cobra cada vez más importancia, GitHub ha dado un paso significativo al hacer disponibles las «Artifact Attestations» para mejorar la confianza y rastreabilidad de los despliegues en la nube. Esta funcionalidad permite a los desarrolladores y empresas crear garantías de procedencia e integridad, asegurando que cada componente que despliegan pueda ser trazado hasta su código fuente original.
La creciente presión regulatoria sobre las organizaciones requiere de herramientas robustas que aseguren procesos seguros y transparentes. GitHub Artifact Attestations cumple con los requisitos del nivel 2 de construcción de SLSA v1.0, lo que proporciona a los equipos de desarrollo la capacidad de tomar decisiones informadas sobre sus compilaciones. Con esta nueva característica, los usuarios pueden crear atestaciones para cualquier tipo de artefacto, desde ejecutables y paquetes hasta registros de contenedores e incluso archivos comprimidos. La adición de esta capa de seguridad y trazabilidad es sencilla dentro de los flujos de trabajo de GitHub Actions. Solo es necesario incluir una acción específica después de construir el artefacto y configurar algunos parámetros para verificar su procedencia.
Una parte crucial de este proceso es la verificación de despliegues en entornos de Kubernetes. Usar un controlador de admisión dentro de Kubernetes asegura que solo se desplieguen imágenes con atestaciones verific...