GitHub artifact attestations
This content is a draft and will not be included in production builds.
GitHub Actionsでビルドに署名するもの。PKI鍵の準備が不要で、成果物をGitHub CLIで検証できる。SLSA v1.0 Build Level 2 の要求を満たす。
内部ではSigstoreを使っている。
具体的な手順はGitHub artifact attestationsの使い方に書いた。