GitHub เดินหน้าแก้ปัญหา supply chain attack หรือการยัดไส้มัลแวร์ลงในซอฟต์แวร์ยอดนิยมเพื่อกระจายต่อ ฟีเจอร์ของ GitHub ที่ออกแบบมาแก้ปัญหานี้เรียกว่า Artifact Attestations

Artifact Attestations อิงอยู่บนโครงการ Sigstore ของ Linux Foundation ที่ใช้วิธี sign ไฟล์ต่างๆ ทุกครั้งที่ออกเวอร์ชันใหม่ แล้วนำลายเซ็นดิจิทัลเหล่านี้ไปเก็บไว้ใน log ที่เปิดเผยต่อสาธารณะ ให้ตรวจสอบย้อนกลับได้ว่าเป็นไฟล์แท้จากนักพัฒนาต้นฉบับ

Artifact Attestations เป็นการนำ Sigstore ที่ออกแบบมาสำหรับโครงการโอเพนซอร์ส มาใช้กับ private repository ที่เก็บอยู่บน GitHub ด้วย มีฐานข้อมูล log แยกจากกันคนละก้อน แต่ก็สามารถตรวจสอบย้อนกลับได้เหมือนกัน และลดความซับซ้อนของการจัดเก็บคีย์ PKI ลงผ่านตัวช่วยต่างๆ

ฟีเจอร์นี้เริ่มเปิดใช้งานแล้วบน GitHub CLI โดยผู้ใช้ต้องเพิ่มคอนฟิกในไฟล์ YAML เพื่อบอกให้ GitHub Actions เรียกใช้งาน Attestations

ที่มา - GitHub Blog