Appearance
通过 GitHub Actions + Artifact Attestation 建立安全的软件发布和使用规范
每个构建产物都有对应的 CI 构建记录,可追溯到具体的代码提交
使用 gh attestation verify 命令验证软件确实由官方 CI 构建
加密签名确保文件在下载后未被修改,保障软件完整性
在 GitHub Actions 中配置 Attestation:
- uses: actions/attest-build-provenance@v2 with: subject-path: 'dist/*'
查看完整开发者规范 →
验证下载的软件:
gh attestation verify ./app --repo org/repo
查看完整用户规范 →