软件安全标准确保软件来源可追溯、构建过程可验证

通过 GitHub Actions + Artifact Attestation 建立安全的软件发布规范

🔐

来源可追溯

每个构建产物都有对应的 CI 构建记录，可追溯到具体的代码提交

✅

使用 gh attestation verify 命令验证软件确实由官方 CI 构建

🛡️

加密签名确保文件在下载后未被修改，保障软件完整性

申请加入 secure-artifacts 组织，提交项目安全审核，一站式完成项目安全管理

查看流程

Code Scanning 和 Secret Scanning 由管理员在审核流程中统一配置，自动检测代码漏洞和密钥泄露

查看说明

AI 自动扫描项目依赖、查询开源协议、生成合规报告，支持持续检查

开始审计

在 GitHub Actions 中配置 Attestation，为你的构建产物生成加密签名证明：

yaml

- uses: actions/attest-build-provenance@v2
  with:
    subject-path: 'dist/*'

新项目建议按以下顺序操作：