Qué está pasando
GitHub está incorporando Artifact Attestations como parte de sus workflows en GitHub Actions, permitiendo verificar el origen y la integridad de los artefactos generados en un pipeline.
Esto significa que ahora puedes demostrar, de forma verificable, que un build fue generado por un workflow específico, en un commit concreto, y no ha sido manipulado.
Por qué importa
La mayoría de los ataques recientes en software no ocurren en el código fuente, sino en la cadena de suministro.
El problema:
- alguien compromete un pipeline
- o introduce código malicioso en el proceso de build
- y el artefacto final parece legítimo
Artifact Attestations atacan directamente ese problema.
Qué es una attestation (sin humo)
Una attestation es básicamente un registro firmado que dice:
- qué se construyó
- cómo se construyó
- dónde se construyó
- con qué código fuente
Y lo hace de forma verificable criptográficamente.
Cómo funciona en la práctica
GitHub genera automáticamente metadata del build y la firma.
Luego puedes:
- verificar el artefacto antes de deploy
- comprobar que proviene de tu workflow
- detectar manipulaciones
Ejemplo básico en GitHub Actions
name: Build and attest
on: [push]
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Build
run: npm install && npm run build
- name: Generate artifact attestation
uses: actions/attest-build-provenance@v1
with:
subject-path: 'dist/**'
Este paso genera una attestation para los artefactos construidos.
Cómo verificar un artefacto
Puedes usar herramientas como cosign:
cosign verify-attestation \
--type slsaprovenance \
<image-or-artifact>
Esto te permite validar que el artefacto coincide con el proceso de build esperado.
Casos de uso reales
1. Deploy seguro
Antes de desplegar:
- verificas attestation
- confirmas origen
- reduces riesgo de artefactos comprometidos
2. Open source
Permite a usuarios verificar que los binarios publicados coinciden con el código del repo.
3. Auditoría
Puedes demostrar cómo fue generado un artefacto en un entorno regulado.
Ventajas
- No necesitas infraestructura adicional
- Integrado en GitHub Actions
- Basado en estándares (SLSA)
- Bajo esfuerzo de adopción
Limitaciones
- Solo cubre lo que ocurre dentro del pipeline
- No reemplaza revisión de código
- Requiere disciplina en verificación
Qué deberías hacer ahora
- Añadir attestations a tus pipelines críticos
- Verificar artefactos antes de deploy
- Revisar permisos de workflows
Por qué importa en LATAM
Muchos equipos no tienen recursos para soluciones complejas de supply chain security.
Esto permite mejorar seguridad con lo que ya están usando.
Conclusión
Artifact Attestations no son una mejora incremental.
Son un cambio en cómo validas confianza en tu software.
Y por primera vez, es algo que puedes adoptar hoy sin cambiar tu stack.