Release Profile

binary + SBOM + provenance を検証可能な一式にして渡せる

ソフトウェアリリースに必要なファイルを署名付きパックにまとめ、受け取った人がLensで「全部揃ってる、改竄なし」と5秒で確認できる。

バラバラに渡していませんか?

1. binaryとSBOMが別メールで届く

受信者はどのSBOMがどのbinaryに対応するか分からず、確認作業が発生する。

2. provenanceがGitHub UIの奥に埋まっている

ビルドの証明があっても、受信者がたどり着けなければ意味がない。

3. 受け取った人がどこから確認すればいいか分からない

ファイルは揃っていても、検証の起点がないと信頼を確認できない。

1コマンドでパック

px pack ./release/ — binary、SBOM、README、provenanceをまとめて署名。受信者にはlens.htmlが1つ付く。

3ステップ

1.

リリースファイルをフォルダにまとめる(binary, SBOM, provenance, README)

2.

px pack ./release/ を実行 — マニフェスト生成・ハッシュ・署名が一括で行われる

3.

生成されたパック(lens.html付き)を受信者に渡す。相手はlens.htmlを開くだけ

受信者はLensを開くだけ

インストール不要。アカウント不要。オフラインで動く。lens.htmlをブラウザで開けば、5秒で「全部揃ってる、改竄なし、ハッシュ一致」と確認できる。技術的知識は必要ない。

lens.html
このリリースパックは有効です

封印後の変更はなく、すべてのファイルが揃っています。

4ファイル確認済み SBOM検証済み 改変なし ハッシュ一致

署名の上に、受信者の確認手段を加える

Sigstore、GitHub Attestations、SLSA — 署名はすでにある。PXはその上に「パッケージング + 受信者検証UI」を加える。

署名はある。パッケージング+受信者検証UIがない。PXはここを埋める。

Release Lineage(継続した履歴)

parent_manifest_refs[] で前のリリースを参照。受信者は「このv2.1がv2.0の次であること」を検証できる。1回のリリースで終わらない。リリースの連続性を検証可能にし、継続した信頼の履歴を構築する。

リリースをPackにする

手元のリリースファイルで試せます。

Lensデモを開く GitHub お問い合わせ