识别可信软件
除了命令行验证,还可以通过以下方式初步判断软件可信度。
检查 Release 页面
可信软件的 Release 页面特征:
✅ 可信标志
- Assets 区域显示 "Verified" 绿色标记
- 有完整的 Release Notes
- 版本号遵循语义化版本规范(如 v1.2.3)
- 有明确的发布时间
⚠️ 可疑标志
- 没有 Verified 标记
- 缺少 Release Notes
- 版本号混乱
- 长时间未更新
检查 Actions 构建记录
步骤 1:进入 Actions 页面
访问 https://github.com/{org}/{repo}/actions
上图展示了构建历史列表:
- ✅ 绿色勾号表示构建成功
- 显示 workflow 名称、commit 信息、触发时间
- 点击可查看详细构建日志
步骤 2:找到对应构建
找到与 Release 版本对应的 workflow 运行记录。
步骤 3:检查构建状态
- ✅ 绿色勾号 - 构建成功
- ❌ 红色叉号 - 构建失败
- 🟡 黄色圆点 - 正在构建
构建详情页面
点击进入具体的 workflow run 查看详情:
关键检查点:
- Status: Success - 确认构建成功
- Artifacts - 显示构建产物数量(点击可下载)
- Jobs - 各平台构建任务状态(Linux/Windows/macOS)
步骤 4:查看构建日志
点击进入查看详细日志,确认包含 Attestation 步骤。
检查 Workflow 配置
查看 .github/workflows/ 目录下的 workflow 文件。
必须包含的配置
yaml
permissions:
id-token: write
contents: write
attestations: write必须使用的 Action
yaml
- uses: actions/attest-build-provenance@v2快速检查清单
| 检查项 | 方法 | 通过标准 |
|---|---|---|
| Verified 标记 | Release 页面 | 显示绿色 Verified |
| 构建记录 | Actions 页面 | 有对应成功的构建 |
| Workflow 配置 | 查看源码 | 包含 attestation 步骤 |
| 命令验证 | gh attestation verify | 验证成功 |
建议
即使 Release 页面显示 Verified,仍建议使用 gh attestation verify 进行本地验证,这是最可靠的验证方式。
可信度评级
| 评级 | 标准 | 建议 |
|---|---|---|
| 🟢 高可信 | 通过所有检查项 | 可以放心使用 |
| 🟡 中等可信 | 通过部分检查项 | 谨慎使用,咨询开发者 |
| 🔴 不可信 | 验证失败或无法验证 | 禁止使用 |