メインコンテンツへスキップ
防御・対策

ソースコードプロベナンス

Source Code Provenance

ソースコードがどのリポジトリ、コミット、作成・レビュー主体、変更履歴から来たかを追跡できる来歴情報で、ビルド成果物の信頼判断に用いるもの。

ソースコードプロベナンスは作者名だけではなく、変更経路、レビュー、署名、リポジトリ設定、ビルド入力との対応を含みます。履歴があることを信頼の証明とせず、改変できる主体と保護された境界を確認します。

  • 初心者向けには「このコードがどこから来て、誰の確認を経て製品に入ったかをたどる記録」と捉える
  • Git履歴だけでなく、レビュー、署名、ブランチ保護、ビルド入力との関連を保つ
  • 成果物プロベナンスと結び付けると、ソースから配布物まで追跡しやすくなる

よくある質問

ソースコードプロベナンスとは?

ソースコードがどのリポジトリ、コミット、作成・レビュー主体、変更履歴から来たかを追跡できる来歴情報で、ビルド成果物の信頼判断に用いるもの。

ソースコードプロベナンスについて詳しく知るには?

ソースコードプロベナンスは作者名だけではなく、変更経路、レビュー、署名、リポジトリ設定、ビルド入力との対応を含みます。履歴があることを信頼の証明とせず、改変できる主体と保護された境界を確認します。

ソースコードプロベナンスのポイントは?

初心者向けには「このコードがどこから来て、誰の確認を経て製品に入ったかをたどる記録」と捉える Git履歴だけでなく、レビュー、署名、ブランチ保護、ビルド入力との関連を保つ 成果物プロベナンスと結び付けると、ソースから配布物まで追跡しやすくなる

← 用語集一覧に戻る
ESC