in-toto
in-toto
in-toto/in-toto: in-toto is a framework to protect supply chain integrity.
ソフトウェアサプライチェーン
において、メタデータと署名の付与を担当する
provenanceを生成する
ビルド手順、ソースコード、コンポーネント、ビルド環境、実行者 etc
コンセプトとしては、
1 プロセス作成者が in-toto レイアウトという「設定ファイルベースの手順書」をつくる
2 開発者が開発やビルドを行う(このとき in-toto でマクロツールよろしく記録開始・終了を行う)
で、2の結果が1と合えばok、パッケージングする、みたいな流れ
in-toto レイアウトとは
https://github.com/in-toto/demo/blob/main/owner_alice/create_layout.py