Confiance release
Confiance release
Section intitulée « Confiance release »Cette page décrit comment vérifier qu’un artefact SONAR téléchargé est bien celui publié par l’équipe.
Ce qui est publié
Section intitulée « Ce qui est publié »Pour chaque release, les éléments suivants sont publiés:
- artefacts de build (ex:
setup.exe,msi,dmg,deb,rpm) - relevés SHA256
- SBOM
- attestations de provenance
- bundles Sigstore (
.sigstore.json) et signatures associées
Vérifications minimales
Section intitulée « Vérifications minimales »- Vérifier le hash SHA256 local contre le relevé publié.
- Vérifier la provenance (attestation GitHub Actions).
- Vérifier la signature Sigstore (
cosign verify-blob).
Où vérifier
Section intitulée « Où vérifier »- Release officielle:
https://github.com/Sonar-team/Sonar_desktop_app/releases - Artefacts + SHA256 + bundles Sigstore: dans les assets de la release.
- Attestations de provenance: onglet Actions / run de release associé.
Exemples de commandes
Section intitulée « Exemples de commandes »1) Hash SHA256
Section intitulée « 1) Hash SHA256 »sha256sum sonar_*.debComparer la valeur avec le manifeste publié (release-hashes-*.md ou SHA256SUMS-*).
2) Vérification cosign (blob)
Section intitulée « 2) Vérification cosign (blob) »cosign verify-blob \ --bundle sonar_*.sigstore.json \ --certificate-identity-regexp "https://github.com/Sonar-team/Sonar_desktop_app/.*" \ --certificate-oidc-issuer "https://token.actions.githubusercontent.com" \ sonar_*.deb- Vérifier la présence du SBOM associé à l’artefact.
- Vérifier que le SBOM et l’artefact pointent vers la même release.
Recommandation d’usage
Section intitulée « Recommandation d’usage »- Utiliser les artefacts publiés sur la release GitHub officielle.
- Ne pas distribuer un artefact local non vérifié.
- Conserver les preuves (
SHA256, attestation, bundle Sigstore) avec les livrables.
Références
Section intitulée « Références »- Changelog:
/doc/changelog - Téléchargement:
/doc/download