Informationen zu verknüpften Artefakten

Dieses linked artifacts page hilft Ihnen, die Builds Ihrer Organisation auf GitHub zu prüfen und zu priorisieren, unabhängig davon, wo die Artefakte gespeichert sind.

In diesem Artikel

Das linked artifacts page bietet eine einheitliche Ansicht von Softwareartefakten, die Ihre Organisation mit GitHub Actions erstellt, z. B. Containerimages, Pakete oder Builds Ihres Produktionscodes.

Auf der Seite wird gezeigt, wie ein Artefakt erstellt wurde, wo es gespeichert oder ausgeführt wird und welche Compliance- und Sicherheitsmetadaten dem Artefakt zugeordnet sind.

Teams in Ihrer Organisation können Daten von linked artifacts page für Folgendes verwenden:

  • Priorisieren Sie Warnungen von GitHub Advanced Security-Features basierend darauf, ob die erkannten Schwachstellen in der Produktion ausgeführt werden oder dem Internet ausgesetzt sind.
  • Schnell Artefakte mit Erstellungsdetails, Speicherorten und verantwortlichen Teams verbinden.
  • Einhaltung der Compliance durch Exportieren von auditierbaren Nachweisen der Provenienz und Integrität Ihrer Artefakte
  • Suchen nach Repositories, die einem bereitgestellten Artefakt zugeordnet sind, und richten Sie diese in Verzweigungsregeln aus.

Welche Artefakte sind auf dem linked artifacts page?

Dies linked artifacts page ist für jede Organisation einzigartig. Es enthält Metadaten für Artefakte, die mit GitHub Actions in den Repositories Ihrer Organisation erstellt wurden. Es zeigt nicht Artefakte an, die Ihre Organisation von anderen Orten bezieht, z. B. Open Source-Abhängigkeiten.

Artefakteinträge werden von Ihrer Organisation mithilfe einer öffentlichen API oder einer Integration in eine externe Registrierung hochgeladen. Die linked artifacts page speichert die Artefaktdateien nicht selbst. Sie stellt lediglich eine autorisierende Quelle für die Metadaten bereit, die den einzelnen Artefakten zugeordnet sind.

Da ein Artefakt nicht auf GitHub gespeichert werden muss, um im linked artifacts page zu erscheinen, können Sie das linked artifacts page zusammen mit Ihrer bevorzugten Paket-Registry wie JFrog Artifactory oder GitHub Packages verwenden.

Welche Metadaten sind enthalten?

Die linked artifacts page Kombiniert Daten aus zwei verschiedenen Datensatztypen: Speicherdatensätze und Bereitstellungseinträge. Diese Datensätze werden mit verschiedenen API-Endpunkten oder Integrationen hochgeladen.

Speicherdatensätze

Speicherdatensätze enthalten das Repository, das den Quellcode des Artefakts enthält, die Registrierung, in der das Artefakt gespeichert ist, und alle Nachweise, die die Integrität und Provenienz des Artefakts belegen. Sie können diese Daten verwenden, um schnell das eigene Team eines Artefakts zu finden und Details zu erstellen.

Screenshot einer Artefaktseite. Hervorgehobene Felder: Speicherregistrierung, Artefakt-Repository, Quell-Repository.

Das Artefakt Repository ist nicht zwingend erforderlich. Es bezieht sich auf das Konzept eines Repositorys in bestimmten externen Paketregistrierungen: einem Ort, an dem mehrere Pakete gruppiert werden können. Im Gegensatz dazu bezieht sich das Quell-Repository auf das GitHub Repository, in dem das Artefakt erstellt wird. Das Quell-Repository ist obligatorisch und wird automatisch erkannt, wenn das Artefakt über einen Nachweis für die Build-Provenienz verfügt.

Weitere Informationen zu Nachweisen und SLSA-Ebenen finden Sie unter Artefakt-Bestätigungen.

Bereitstellungsprotokolle

Bereitstellungsdatensätze umfassen die Umgebung, in der das Artefakt bereitgestellt wird, und alle Laufzeitrisiken (z. B. "vertrauliche Daten" oder "Internet verfügbar gemacht") im Zusammenhang mit dem Artefakt.

Screenshot einer Artefaktseite. Hervorgehobene Felder: die Liste "Bereitstellungen", einschließlich der Tags "Prod", "vertrauliche Daten" und "pacific-east".

Hinweis

Bereitstellungsdatensätze enthalten keine Bereitstellungsaktivitäten aus dem Bereitstellungsdashboard eines Repositorys, das aus einer anderen Quelle stammt. Weitere Informationen findest du unter Bereitstellungsaktivitäten für Dein Repository anzeigen.

Wo sind Artefaktdaten verfügbar?

Metadaten von Artefakten sind nicht nur auf dem linked artifacts page selbst verfügbar, sondern auch in Richtlinien und Sicherheitsoberflächen auf GitHub integriert. Teams können diese Daten verwenden, um Richtlinienentscheidungen zu treffen oder Sicherheitsprobleme zu priorisieren. Sie können z. B. folgende Aktionen ausführen:

Wie passt das linked artifacts page in meine Prozesse?

In diesem Beispielworkflow wird gezeigt, wie die linked artifacts page Integration in andere GitHub Features und externe Systeme funktioniert.

  1. Ein Entwickler committet Code in ein GitHub Repository, in dem der Code für ein Softwarepaket liegt.

  2. Ein GitHub Actions Workflow im Repository automatisch:

    1. Erstellt das Paket.
    2. Überträgt das Paket an die ausgewählte Registrierung, wie GitHub Packages oder JFrog Artifactory.
    3. Erstellt einen kryptografisch signierten Provenienznachweis, der das Paket mit dem Repository, dem Commit und dem Workflow verknüpft, die verwendet wurden, um das Paket zu erstellen.
    4. Stellt das Paket in einer Staging- oder Produktionsumgebung bereit. Dein Bereitstellungssystem kann so gesteuert werden, dass nur nachgewiesene Artefakte in der Produktion bereitgestellt werden können, z. B. mit dem Kubernetes Admissions Controller.

  3. Metadaten für das Paket, z. B. das verknüpfte Repository, die Nachweise und den Bereitstellungsverlauf, werden in das linked artifacts pagePaket hochgeladen.

  4. Mithilfe der Daten aus dem linked artifacts page triagiert ein Sicherheitsverantwortlicher Code-Scanning- und Dependabot-Warnungen und erstellt eine Kampagne zum Beheben von Warnungen, die sich auf Produktionsumgebungen auswirken oder ein bestimmtes Laufzeitrisiko haben.

  5. Wenn eine Überwachung erforderlich ist, exportiert ein Mitglied des Complianceteams SBOMs, Provenienzdetails und Bereitstellungseinträge für alle verknüpften Artefakte Ihrer Organisation aus einer einzigen Quelle.

Nächste Schritte

Informationen zum Hinzufügen von Datensätzen zu den Einträgen linked artifacts pageIhrer Organisation finden Sie unter Hochladen von Speicher- und Bereitstellungsdaten in die linked artifacts page.

Um die linked artifacts page Ihrer Organisation anzuzeigen, sehen Sie unter Überprüfen der Builds Ihrer Organisation auf den linked artifacts page nach.