Acerca de los artefactos vinculados

linked artifacts page le ayuda a auditar y priorizar las compilaciones de su organización en GitHub, sin importar dónde se almacenen los artefactos.

En este artículo

linked artifacts page proporciona una vista unificada de los artefactos de software que su organización crea con GitHub Actions, como imágenes de contenedor, paquetes o construcciones del código de producción.

En la página se muestra cómo se ha compilado un artefacto, dónde se almacena o se ejecuta, y qué metadatos de cumplimiento y seguridad están asociados al artefacto.

Los equipos de su organización pueden usar linked artifacts page para:

  • Priorice las alertas de GitHub Advanced Security en función de si las vulnerabilidades detectadas se ejecutan en producción o están expuestas a Internet.
  • Conectar rápidamente artefactos para crear detalles, ubicaciones de almacenamiento y equipos propietarios
  • Cumplir el cumplimiento mediante la exportación de una prueba auditable de la procedencia e integridad de los artefactos

¿Qué artefactos aparecen en el linked artifacts page?

El linked artifacts page es único para cada organización. Contiene metadatos para artefactos que se han compilado con GitHub Actions en los repositorios de su organización. No muestra artefactos que su organización consume de otro lugar, como dependencias de código abierto.

La organización carga los registros de artefactos mediante una API pública o una integración con un registro externo. linked artifacts page no almacena los propios archivos de artefacto. Solo proporciona un origen autoritativo para los metadatos asociados a cada artefacto.

Dado que no es necesario almacenar un artefacto en GitHub para que aparezcan en linked artifacts page, puede usar linked artifacts page junto con el registro de paquetes preferido, como JFrog Artifactory o GitHub Packages.

¿Qué metadatos se incluyen?

linked artifacts page combina datos de dos tipos diferentes de registro: registros de almacenaje y registros de implementación. Estos registros se cargan mediante diferentes puntos de conexión o integraciones de API.

Registros de almacenamiento

Los registros de almacenamiento incluyen el repositorio que contiene el código fuente del artefacto, el registro donde se almacena el artefacto y cualquier atestación que demuestre la integridad y la procedencia del artefacto. Puede usar estos datos para encontrar rápidamente el equipo responsable de un artefacto y los detalles de construcción.

Captura de pantalla de una página de artefactos. Campos resaltados: registro de almacenamiento, repositorio de artefactos, repositorio de origen.

El repositorio de artefactos no es obligatorio. Hace referencia al concepto de un repositorio en determinados registros de paquetes externos: un lugar donde se pueden agrupar varios paquetes. Por el contrario, el repositorio de origen hace referencia al repositorio GitHub donde se compila el artefacto. El repositorio de origen es obligatorio y se detecta automáticamente si el artefacto tiene una atestación de origen de compilación.

Para obtener más información sobre las atestaciones y los niveles de SLSA, consulte Atestaciones de artefactos.

Registros de implementación

Los registros de implementación incluyen el entorno en el que se implementa el artefacto y los riesgos en tiempo de ejecución (como "datos confidenciales" o "expuestos a Internet") asociados al artefacto. Puede usar estos datos para filtrar las alertas de seguridad en función del nivel de amenaza que plantea la organización y los consumidores.

Captura de pantalla de una página de artefactos. Campos resaltados: la lista "Implementaciones", incluidas las etiquetas de "Prod", "información confidencial" y "pacific-east".

Nota:

Los registros de implementación no incluyen la actividad de implementación del panel de implementaciones de un repositorio, que procede de un origen diferente. Consulta Ver la actividad de implementación de tu repositorio.

¿Cómo encaja linked artifacts page en mis procesos?

En este flujo de trabajo de ejemplo se muestra el modo en que linked artifacts page se integra con otras características de GitHub y sistemas externos.

  1. Un desarrollador realiza un 'commit' al repositorio GitHub donde se define un paquete de software.

  2. Un flujo de trabajo de GitHub Actions en el repositorio realiza lo siguiente automáticamente:

    1. Compila el paquete.
    2. Inserta el paquete al registro elegido, como GitHub Packages o JFrog Artifactory.
    3. Crea una atestación de origen firmada criptográficamente, vinculando el paquete al repositorio, confirmación y flujo de trabajo que se usa para compilar el paquete.
    4. Implementa el paquete en un entorno de ensayo o producción. El sistema de implementación puede estar controlado para asegurarse de que solo se puedan implementar artefactos atestiguados en producción, por ejemplo, mediante el controlador de admisiones de Kubernetes.

  3. Los metadatos del paquete, como su repositorio vinculado, atestaciones e historial de implementación, se cargan en el linked artifacts page.

  4. Utilizando los datos del linked artifacts page, un encargado de seguridad realiza el triaje de las alertas de análisis de código y de Dependabot, y crea una campaña para resolver las alertas que afectan a los entornos de producción o tienen un riesgo específico en tiempo de ejecución.

  5. Cuando se requiere una auditoría, un miembro del equipo de cumplimiento exporta SBOM, detalles de la procedencia y registros de implementación para todos los artefactos vinculados de la organización desde un único origen.

Pasos siguientes

Para agregar registros al linked artifacts page de su organización, consulte Carga de los datos de almacenamiento y despliegue en linked artifacts page.

Para ver el linked artifacts page de su organización, consulte Auditando las compilaciones de la organización en el linked artifacts page.