Introducing npm package provenance | The GitHub Blog
npmパッケージが、どのソースコードのコミット、ビルドの設定なのかのprovenanceを紐づけられる--provenanceフラグをサポート。
現在はGitHub Actionsからのpublishにおける紐付けをサポートしてる。
サプライチェーンの問題が起きた時に、パッケージに含まれるprovenanceをチェックすることで、整合性がチェックできる
npmパッケージが、どのソースコードのコミット、ビルドの設定なのかのprovenanceを紐づけられる--provenanceフラグをサポート。
現在はGitHub Actionsからのpublishにおける紐付けをサポートしてる。
サプライチェーンの問題が起きた時に、パッケージに含まれるprovenanceをチェックすることで、整合性がチェックできる