7.R11.P16 產物缺少來源證據
7.R11.P16 產物缺少來源證據
這個失效樣式的核心問題是部署產物與來源提交無法完整對應。當 artifact 缺少 provenance 證據,污染產物會更容易穿越 release gate。
常見形成條件
- build metadata 與來源提交缺少可回查關聯。
- 產物簽署驗證未納入 release gate。
- 供應鏈事件後缺少受影響 artifact 快速盤點機制。
判讀訊號
- 同版本 artifact 的來源紀錄不一致或不可追溯。
- 發佈關卡通過但缺少簽署驗證證據。
- 事件發生後無法快速定位受影響部署批次,導致 impact scope 判讀延後。
案例觸發參考
來源主題章節
下一步路由
本失效樣式對應的實作 chain:
控制面(mitigation 在這裡定義):
演練 / 控制落地(轉成欄位):