GitHub CLI 新增支持从镜像仓库验证制品签名

GitHub CLI 近日发布了一项重要功能更新，使得开发者能够直接从容器镜像仓库中验证制品的签名信息。这项功能完善了 GitHub Actions 生态中的软件供应链安全验证流程。

在软件供应链安全日益受到重视的背景下，GitHub 提供了完整的制品签名和验证机制。开发者可以通过 GitHub Actions 工作流生成软件制品的构建证明（provenance），并将这些证明推送到容器镜像仓库中存储。然而，之前的 GitHub CLI 工具仅支持从 GitHub API 或本地文件系统获取这些证明进行验证。

新发布的 v2.56.0 版本中，GitHub CLI 的 gh attestation verify 命令现在可以直接从容器镜像仓库获取制品签名信息进行验证。这一改进使得整个验证流程更加完整和便捷，特别是在持续集成/持续部署（CI/CD）场景中。

这项功能的意义在于：

1. 实现了端到端的签名验证流程，从签名生成到验证都可以在同一个工具链中完成
2. 支持了更灵活的签名存储方案，不再局限于 GitHub 的存储系统
3. 为容器镜像等制品的供应链安全提供了更完善的支持

对于使用 GitHub Actions 进行容器镜像构建和发布的团队来说，这项更新意味着他们可以在工作流中：

• 使用 actions/attest-build-provenance Action 生成构建证明
• 选择将证明推送到镜像仓库
• 使用 GitHub CLI 直接从镜像仓库获取证明进行验证

这一功能更新体现了 GitHub 对软件供应链安全的持续投入，也为开发者提供了更强大、更灵活的安全工具。随着软件供应链攻击的增多，这类能够简化安全实践的工具将变得越来越重要。

目前，这项功能已在 GitHub CLI v2.56.0 版本中发布。使用 GitHub 托管运行器的用户需要注意，标准运行器中的预装 CLI 版本可能需要等待更新才能使用这一新功能。