Le linked artifacts page offre une vue unifiée des artefacts logiciels que votre organisation génère avec GitHub Actions, tels que des images de conteneur, des packages ou des builds de votre code de production.
La page vous montre comment un artefact a été créé, où il est stocké ou en cours d’exécution, et quelles métadonnées de conformité et de sécurité sont associées à l’artefact.
Les équipes de votre organisation peuvent utiliser le linked artifacts page pour :
- Hiérarchiser les alertes des fonctionnalités de GitHub Advanced Security en fonction de la présence des vulnérabilités détectées en production ou de leur exposition à Internet.
- Connectez rapidement les artefacts aux détails de build, aux emplacements de stockage et aux équipes responsables
- Respecter la conformité en exportant la preuve auditable de la provenance et de l’intégrité de vos artefacts
Quels artéfacts apparaissent dans le linked artifacts page ?
Le linked artifacts page est unique à chaque organisation. Il contient des métadonnées pour les artefacts qui ont été créés avec GitHub Actions dans les référentiels de votre organisation. Il n’affiche pas les artefacts que votre organisation consomme d’ailleurs, comme les dépendances open source.
Les enregistrements d’artefacts sont chargés par votre organisation à l’aide d’une API publique ou d’une intégration à un registre externe. Le linked artifacts page ne stocke pas les fichiers d’artefacts eux-mêmes. Il fournit simplement une source faisant autorité pour les métadonnées associées à chaque artefact.
Étant donné qu’un artefact n’a pas besoin d’être stocké sur GitHub pour apparaître dans le linked artifacts page, vous pouvez utiliser linked artifacts page en même temps que votre registre de packages préféré, tel que JFrog Artifactory ou GitHub Packages.
Quelles métadonnées sont incluses ?
Le linked artifacts page combine les données de deux types d’enregistrements différents : enregistrements de stockage et enregistrements de déploiement. Ces enregistrements sont chargés à l’aide de différents points de terminaison API ou d'intégrations.
Enregistrements de stockage
Les enregistrements de stockage incluent le référentiel contenant le code source de l’artefact, le Registre où l’artefact est stocké et toutes les attestations montrant l’intégrité et la provenance de l’artefact. Vous pouvez utiliser ces données pour rechercher rapidement l’équipe propriétaire d’un artefact et générer des détails.
Le référentiel d’artefacts n’est pas obligatoire. Il fait référence au concept d’un référentiel dans certains registres de packages externes : emplacement où plusieurs packages peuvent être regroupés. En revanche, le référentiel source fait référence au référentiel GitHub où l’artefact est généré. Le référentiel source est obligatoire et est détecté automatiquement si l’artefact a une attestation de provenance de build.
Pour plus d’informations sur les attestations et les niveaux SLSA, consultez Attestations d’artefacts.
Enregistrements de déploiement
Les enregistrements de déploiement incluent l’environnement dans lequel l’artefact est déployé et tous les risques d’exécution (tels que les « données sensibles » ou « Internet exposés ») associés à l’artefact. Vous pouvez utiliser ces données pour filtrer les alertes de sécurité en fonction du niveau de menace posé par votre organisation et vos consommateurs.
Remarque
Les enregistrements de déploiement n’incluent pas l’activité de déploiement à partir du tableau de bord des déploiements d’un référentiel, qui provient d’une autre source. Consultez Affichage de l’activité de déploiement de votre dépôt.
Comment les linked artifacts page s’intègrent-ils dans mes processus ?
Exemple de flux de travail montrant comment le linked artifacts page s’intègre aux autres fonctionnalités de GitHub et aux systèmes externes.
-
Un développeur valide le code dans un référentiel GitHub où le code d’un package logiciel est défini.
-
Un workflow GitHub Actions dans le référentiel effectue automatiquement les actions suivantes :
- Génère le package.
- Envoie le package à votre registre choisi, par exemple GitHub Packages ou JFrog Artifactory.
- Crée une attestation de provenance signée par chiffrement, en liant le package au référentiel, à la validation et au workflow utilisés pour générer le package.
- Déploie le paquet dans un environnement intermédiaire ou de production. Votre système de déploiement peut être contrôlé afin de garantir que seuls des artefacts attestés puissent être déployés en production, par exemple en utilisant le contrôleur d’admission Kubernetes.
-
Les métadonnées du package, telles que son référentiel lié, ses attestations et son historique de déploiement, sont chargées dans le linked artifacts page.
-
En utilisant les données du linked artifacts page, un responsable sécurité priorise les alertes d’analyse de code et de Dependabot, puis crée une campagne pour traiter les alertes qui affectent les environnements de production ou présentent un risque spécifique à l’exécution.
-
Lorsqu’un audit est nécessaire, un membre de l’équipe de conformité exporte des SBOMs, des détails de provenance et des enregistrements de déploiement pour tous les artefacts liés de votre organisation à partir d’une seule source.
Étapes suivantes
Pour ajouter des enregistrements à linked artifacts page de votre organisation, consultez Chargement des données de stockage et de déploiement dans le linked artifacts page.
Pour afficher le linked artifacts page de votre organisation, consultez Auditer les builds de votre organisation sur les linked artifacts page.