Le linked artifacts page fournit une vue unifiée des artefacts logiciels que votre organisation crée avec GitHub Actions, par exemple, des images de conteneur, des paquets ou des builds de votre code de production.
La page vous montre comment un artefact a été créé, où il est stocké ou en cours d’exécution, et quelles métadonnées de conformité et de sécurité sont associées à l’artefact.
Les équipes au sein de votre organisation peuvent utiliser des données de la source linked artifacts page pour :
- Hiérarchisez les alertes des GitHub Advanced Security éléments en fonction des vulnérabilités détectées, qu'elles soient en cours d'exécution en production ou exposées à Internet.
- Connectez rapidement les artefacts aux détails de build, aux emplacements de stockage et aux équipes responsables
- Respecter la conformité en exportant la preuve auditable de la provenance et de l’intégrité de vos artefacts
- Rechercher des référentiels associés à un artefact déployé et les cibler dans des ensembles de règles de branche
Quels artefacts apparaissent sur le linked artifacts page?
linked artifacts page est unique à chaque organisation. Il contient des métadonnées pour les artefacts qui ont été créés avec GitHub Actions dans les référentiels de votre organisation. Il ne **pas** affiche les artefacts que votre organisation utilise en provenance d’ailleurs, comme les dépendances open-source.
Les enregistrements d’artefacts sont chargés par votre organisation à l’aide d’une API publique ou d’une intégration à un registre externe. Le linked artifacts page fichier ne stocke pas les fichiers d’artefact eux-mêmes. Il fournit simplement une source faisant autorité pour les métadonnées associées à chaque artefact.
Étant donné qu’un artefact n’a pas besoin d’être stocké sur GitHub pour apparaître dans le linked artifacts page, vous pouvez utiliser le linked artifacts page avec votre registre de paquets préféré, tel que JFrog Artifactory ou GitHub Packages.
Quelles métadonnées sont incluses ?
Les linked artifacts page données de deux types d’enregistrements différents sont combinées : enregistrements de stockage et enregistrements de déploiement. Ces enregistrements sont chargés à l’aide de différents points de terminaison API ou d'intégrations.
Enregistrements de stockage
Les enregistrements de stockage incluent le référentiel contenant le code source de l’artefact, le Registre où l’artefact est stocké et toutes les attestations montrant l’intégrité et la provenance de l’artefact. Vous pouvez utiliser ces données pour rechercher rapidement l’équipe propriétaire d’un artefact et générer des détails.
Le référentiel d’artefacts n’est pas obligatoire. Il fait référence au concept d’un référentiel dans certains registres de packages externes : emplacement où plusieurs packages peuvent être regroupés. En revanche, le référentiel source fait référence au GitHub référentiel où l’artefact est généré. Le référentiel source est obligatoire et est détecté automatiquement si l’artefact a une attestation de provenance de build.
Pour plus d’informations sur les attestations et les niveaux SLSA, consultez Attestations d’artefacts.
Enregistrements de déploiement
Les enregistrements de déploiement incluent l’environnement dans lequel l’artefact est déployé et tous les risques d’exécution (tels que les « données sensibles » ou « Internet exposés ») associés à l’artefact.
Remarque
Les enregistrements de déploiement n’incluent pas l’activité de déploiement à partir du tableau de bord des déploiements d’un référentiel, qui provient d’une autre source. Consultez Affichage de l’activité de déploiement de votre dépôt.
Où sont disponibles les données d’artefact ?
En plus d’être disponibles sur le linked artifacts page lui-même, les métadonnées d’artefact sont intégrées sur les surfaces de politique et de sécurité de GitHub. Teams peut utiliser ces données pour prendre des décisions de stratégie ou hiérarchiser les problèmes de sécurité. Par exemple, ils peuvent :
- Utilisez les filtres
deployedoudeployablepour rechercher des dépôts ou des dépôts cibles dans des ensembles de règles d’organisation et d’entreprise. Consultez Recherche de référentiels. - Filtrez les campagnes de sécurité, code scanning les alertes et Dependabot les alertes par risque d’exécution. Consultez Hiérarchisation des alertes Dependabot et d'analyse de code à l'aide du contexte de production.
- Affichez les risques à l'exécution en tant qu'attributs sur l'alerte individuelle code scanning et Dependabot.
Comment s’adapte-t-il linked artifacts page à mes processus ?
Cet exemple de flux de travail montre comment le linked artifacts page s'intègre avec d'autres fonctionnalités GitHub et des systèmes externes.
-
Un développeur valide le code dans un GitHub référentiel où le code d’un package logiciel est défini.
-
Flux GitHub Actions de travail dans le référentiel automatiquement :
- Génère le package.
- Transfère le paquet à votre registre choisi, tel que GitHub Packages, ou JFrog Artifactory.
- Crée une attestation de provenance signée par chiffrement, en liant le package au référentiel, à la validation et au workflow utilisés pour générer le package.
- Déploie le paquet dans un environnement intermédiaire ou de production. Votre système de déploiement peut être contrôlé afin de garantir que seuls des artefacts attestés puissent être déployés en production, par exemple en utilisant le contrôleur d’admission Kubernetes.
-
Les métadonnées du package, telles que son référentiel lié, ses attestations et son historique de déploiement, sont chargées dans le linked artifacts pagefichier .
-
À l'aide des données du linked artifacts page, un responsable sécurité trie les analyses de code et les alertes Dependabot, et crée une campagne pour traiter les alertes qui affectent les environnements de production ou qui ont un risque d’exécution précis.
-
Lorsqu’un audit est nécessaire, un membre de l’équipe de conformité exporte des SBOMs, des détails de provenance et des enregistrements de déploiement pour tous les artefacts liés de votre organisation à partir d’une seule source.
Étapes suivantes
Pour ajouter des enregistrements aux enregistrements de linked artifacts pagevotre organisation, consultez Chargement des données de stockage et de déploiement dans le linked artifacts page.
Pour afficher le linked artifacts page de votre organisation, consultez Audit des builds de votre organisation sur le linked artifacts page.