sorane のタグ付きリリース(v*)には SLSA v1.0 Build-L3 provenance、SBOM、CBOM が含まれます。
現在の状態#
| 項目 | 値 |
|---|---|
| バージョン | 0.4.0 |
| リリースタグ | v0.4.0 |
| SLSA | Build-L3(.intoto.jsonl) |
| npm provenance | あり(Trusted Publisher / OIDC) |
| 生成日時(UTC) | 2026-06-21T12:18:33.667Z |
公開 npm パッケージ#
@sorane/cli@sorane/core@sorane/font@sorane/okf@sorane/search
プロセス内ハッシュ(CBOM)#
| アルゴリズム | 用途 | OID | 説明 |
|---|---|---|---|
| SHA-256 | integrity | 2.16.840.1.101.3.4.2.1 | Node.js crypto.createHash('sha256') for font subset cache keys and search incremental hashes. |
機械可読: supply-chain.json · cbom.json
部品表#
| 種類 | 内容 | Web / 取得 |
|---|---|---|
| ステータス | バージョン・リリース・CBOM 概要 | supply-chain.json |
| CBOM | プロセス内で使うハッシュ(SHA-256) | cbom.json |
| SBOM | npm 依存ツリー | GitHub Release の sbom.json |
CBOM は C2PA 署名を 外部 c2patool に委譲する前提です。sorane 本体は署名鍵を持ちません。
リリース成果物#
v* タグの GitHub Release には次があります。
@sorane/*の npm pack tarball ×5- source tarball(
sorane-vX.Y.Z.tar.gz) cbom.json/sbom.jsonと SHA-256 サイドカーsorane-vX.Y.Z.intoto.jsonl(SLSA provenance)
npm から入れる場合は CI で provenance 付き publish します。認証は次のいずれかです。
- npm Trusted Publisher — 各
@sorane/*パッケージの Settings で GitHub Actions を登録(masanork/sorane、release.yml) - GitHub secret
NPM_TOKEN— npm の Granular Access Token(Publish 権限)
検証手順#
リポジトリの release-verification.md に、slsa-verifier と gh attestation verify を使った手順があります。