Acerca de los artefactos vinculados

          linked artifacts page proporciona una vista unificada de los artefactos de software que la organización compila con GitHub Actions, como imágenes de contenedor, paquetes o compilaciones del código de producción.

En la página se muestra cómo se ha compilado un artefacto, dónde se almacena o se ejecuta, y qué metadatos de cumplimiento y seguridad están asociados al artefacto.

Equipos de su organización pueden usar datos de linked artifacts page para:

• Priorice las alertas de las características de GitHub Advanced Security en función de si las vulnerabilidades detectadas se ejecutan en producción o están expuestas a Internet.
• Conectar rápidamente artefactos para crear detalles, ubicaciones de almacenamiento y equipos propietarios
• Cumplir el cumplimiento mediante la exportación de una prueba auditable de la procedencia e integridad de los artefactos
• Buscar repositorios asociados a un artefacto implementado y dirigirse a ellos en conjuntos de reglas de rama

¿Qué artefactos aparecen en el linked artifacts page?

          linked artifacts page es único para cada organización. Contiene metadatos para artefactos que se han generado con GitHub Actions en los repositorios de su organización. No muestra artefactos que su organización consume de otras fuentes, como dependencias de código abierto.

La organización carga los registros de artefactos mediante una API pública o una integración con un registro externo. linked artifacts page no almacena los archivos de artefacto en sí. Solo proporciona un origen autoritativo para los metadatos asociados a cada artefacto.

Dado que no es necesario almacenar un artefacto en GitHub para que aparezca en linked artifacts page, puede usar el linked artifacts page junto con su registro de paquetes preferido, como JFrog Artifactory o GitHub Packages.

¿Qué metadatos se incluyen?

          linked artifacts page Combina datos de dos tipos diferentes de registro: registros de almacenamiento y registros de implementación. Estos registros se cargan mediante diferentes puntos de conexión o integraciones de API.

Registros de almacenamiento

Los registros de almacenamiento incluyen el repositorio que contiene el código fuente del artefacto, el registro donde se almacena el artefacto y cualquier atestación que demuestre la integridad y la procedencia del artefacto. Puede usar estos datos para encontrar rápidamente el equipo responsable de un artefacto y los detalles de construcción.

El repositorio de artefactos no es obligatorio. Hace referencia al concepto de un repositorio en determinados registros de paquetes externos: un lugar donde se pueden agrupar varios paquetes. Por el contrario, el repositorio de origen hace referencia al GitHub repositorio donde se compila el artefacto. El repositorio de origen es obligatorio y se detecta automáticamente si el artefacto tiene una atestación de origen de compilación.

Para obtener más información sobre las atestaciones y los niveles de SLSA, consulte Atestaciones de artefactos.

Registros de implementación

Los registros de implementación incluyen el entorno en el que se implementa el artefacto y los riesgos en tiempo de ejecución (como "datos confidenciales" o "expuestos a Internet") asociados al artefacto.

¿Dónde están disponibles los datos de artefacto?

Además de estar disponible en el propio linked artifacts page, los metadatos de artefactos se integran en las superficies de políticas y seguridad en GitHub. Teams puede usar estos datos para tomar decisiones de directiva o priorizar los problemas de seguridad. Por ejemplo, pueden:

• Utiliza deployed o deployable filtros para buscar repositorios o repositorios de destino en los conjuntos de reglas de organización y de empresa. Consulta Buscar repositorios.
• Filtre las campañas de seguridad, code scanning las alertas y Dependabot las alertas por riesgo en tiempo de ejecución. Consulta Priorización de alertas de análisis de código y Dependabot mediante el contexto de producción.
• Vea los riesgos de tiempo de ejecución como atributos en alertas individuales en code scanning y Dependabot.

¿Cómo encaja linked artifacts page en mis procesos?

En este ejemplo de flujo de trabajo se muestra cómo linked artifacts page se integra con otras GitHub funciones y sistemas externos.

1. Un desarrollador realiza un commit del código en un GitHub repositorio donde se define el código de un paquete de software.

2. Un GitHub Actions flujo de trabajo en el repositorio automáticamente:

   1. Compila el paquete.
   2. Sube el paquete al registro elegido, como GitHub Packages o JFrog Artifactory.
   3. Crea una atestación de origen firmada criptográficamente, vinculando el paquete al repositorio, confirmación y flujo de trabajo que se usa para compilar el paquete.
   4. Implementa el paquete en un entorno de ensayo o producción. El sistema de implementación puede estar controlado para asegurarse de que solo se puedan implementar artefactos atestiguados en producción, por ejemplo, mediante el controlador de admisiones de Kubernetes.

3. Los metadatos del paquete, como su repositorio vinculado, atestaciones e historial de implementación, se cargan en .linked artifacts page

4. Con los datos de linked artifacts page, un líder de seguridad gestiona las alertas de escaneo de código y de Dependabot, y crea una campaña para mitigar las alertas que impactan en los entornos de producción o presentan un riesgo específico en tiempo de ejecución.

5. Cuando se requiere una auditoría, un miembro del equipo de cumplimiento exporta SBOM, detalles de la procedencia y registros de implementación para todos los artefactos vinculados de la organización desde un único origen.

Pasos siguientes

Para agregar registros a tu organización linked artifacts page, consulte Carga de datos de almacenamiento e implementación en linked artifacts page.

Para ver el elemento linked artifacts page de su organización, consulte Auditoría de las compilaciones de la organización en el linked artifacts page.