# Sobre artefatos vinculados O linked artifacts page ajuda você a auditar e priorizar as compilações da sua organização em GitHub, independentemente de onde os artefatos são armazenados. O linked artifacts page fornece uma visão unificada dos artefatos de software que sua organização constrói com GitHub Actions, como imagens de contêiner, pacotes ou builds do código de produção. A página mostra como um artefato foi criado, onde ele está armazenado ou em execução e quais metadados de conformidade e segurança estão associados ao artefato. As equipes em sua organização podem usar dados do linked artifacts page para: * Priorize alertas das funcionalidades GitHub Advanced Security com base em se as vulnerabilidades detectadas estão sendo executadas em produção ou expostas à Internet * Conectar rapidamente artefatos para compilar detalhes, locais de armazenamento e equipes responsáveis * Atender à conformidade exportando a prova auditável da procedência e integridade de seus artefatos * Localize repositórios associados a um artefato implementado e faça o direcionamento deles em conjuntos de regras de ramificação ## Quais artefatos aparecem no linked artifacts page? O linked artifacts page valor é exclusivo para cada organização. Ele contém metadados para artefatos que foram criados com GitHub Actions nos repositórios da sua organização. Ele **não** exibe artefatos que sua organização consome de outros lugares, como dependências de código aberto. Os registros de artefato são carregados pela sua organização usando uma API pública ou uma integração com um registro externo. O linked artifacts page não armazena os próprios arquivos de artefatos. Ele apenas fornece uma fonte autoritativa para os metadados associados a cada artefato. Como um artefato não precisa ser armazenado em GitHub para aparecer no linked artifacts page, você pode usar o linked artifacts page no seu registro de pacote preferido, como o JFrog Artifactory ou GitHub Packages. ## Quais metadados estão incluídos? ``` linked artifacts page combina dados de dois tipos diferentes de registro: registros de armazenamento e de implantação. Esses registros são carregados usando diferentes endpoints da API ou integrações. ``` ### Registros de armazenamento Os registros de armazenamento incluem o repositório que contém o código-fonte do artefato, o registro em que o artefato está armazenado e quaisquer atestados que comprovem a integridade e a procedência do artefato. Você pode usar esses dados para localizar rapidamente a equipe proprietária de um artefato e os detalhes de build. ![Captura de tela de uma página de artefatos. Campos realçados: registro de armazenamento, repositório de artefatos, repositório de origem.](/assets/images/help/security/virtual-registry-storage-record.png) O *repositório de artefatos* não é obrigatório. Ele se refere ao conceito de um repositório em determinados registros de pacote externo: um local onde vários pacotes podem ser agrupados. Por outro lado, o \_repositório de origem\_GitHub refere-se ao repositório em que o artefato é compilado. O repositório de origem é obrigatório e será detectado automaticamente se o artefato tiver um atestado de procedência de build. Para obter mais informações sobre atestados e níveis de SLSA, consulte [Atestados de artefatos](/pt/actions/concepts/security/artifact-attestations). ### Registros de implantação Os registros de implantação incluem o ambiente em que o artefato é implantado e quaisquer riscos de runtime (como "dados confidenciais" ou "expostos pela Internet") associados ao artefato. ![Captura de tela de uma página de artefatos. Campos realçados: a lista "Implantações", incluindo tags para "Prod", "dados confidenciais" e "pacific-east".](/assets/images/help/security/virtual-registry-deployment-record.png) > \[!NOTE] Os registros de implantação **não** incluem atividades de implantação do painel de implantações de um repositório, pois eles vêm de uma fonte diferente. Confira [Visualizando atividade de implantação no seu repositório](/pt/repositories/viewing-activity-and-data-for-your-repository/viewing-deployment-activity-for-your-repository). ## Onde os dados do artefato estão disponíveis? Além de estarem disponíveis no próprio linked artifacts page, os metadados do artefato são integrados às superfícies de política e segurança no GitHub. O Teams pode usar esses dados para tomar decisões de política ou priorizar problemas de segurança. Por exemplo, eles podem: * Use os filtros `deployed` ou `deployable` para pesquisar repositórios ou direcionar repositórios em conjuntos de regras de organização e corporativos. Confira [Pesquisar repositórios](/pt/search-github/searching-on-github/searching-for-repositories#search-based-on-deployment-context). * Filtrar campanhas de segurança, code scanning alertas e Dependabot alertas por risco de tempo de execução. Confira [Priorizando alertas do Dependabot e de verificação de código no contexto de produção](/pt/code-security/tutorials/secure-your-organization/prioritize-alerts-in-production-code). * Exiba os riscos de tempo de execução como atributos em alertas individuais code scanning e Dependabot. ## Como o linked artifacts page se encaixa em meus processos? Este fluxo de trabalho de exemplo mostra como o linked artifacts page se integra com outros recursos GitHub e sistemas externos. 1. Um desenvolvedor faz commit do código para um repositório GitHub onde está definido o código de um pacote de software. 2. Um workflow GitHub Actions no repositório automaticamente: 1. Compila o pacote. 2. Faz o push do pacote para o registro escolhido, como GitHub Packages ou JFrog Artifactory. 3. Cria um atestado de procedência assinado criptograficamente, vinculando o pacote ao repositório, à confirmação e ao fluxo de trabalho usados para criar o pacote. 4. Implanta o pacote em um ambiente de preparo ou produção. Seu sistema de implantação pode ser fechado para garantir que apenas artefatos atestados possam ser implantados na produção, por exemplo, usando o Controlador de Admissões do Kubernetes. 3. Os metadados do pacote, como seu repositório vinculado, atestados e histórico de implantação, são carregados no linked artifacts page. 4. Usando os dados do linked artifacts page, um líder de segurança triageia a verificação de código e os alertas do Dependabot, e cria uma campanha para lidar com alertas que afetam ambientes de produção ou têm um risco de tempo de execução específico. 5. Quando uma auditoria é necessária, um membro da equipe de conformidade exporta SBOMs, informações de origem e registros de implementação para todos os artefatos vinculados da sua organização a partir de uma única fonte. ## Próximas etapas Para adicionar registros à sua organização linked artifacts page, consulte [Carregando dados de armazenamento e implantação no linked artifacts page](/pt/code-security/how-tos/secure-your-supply-chain/establish-provenance-and-integrity/upload-linked-artifacts). Para exibir o linked artifacts page de sua organização, consulte [Auditoria dos builds da sua organização no linked artifacts page](/pt/code-security/how-tos/secure-your-supply-chain/establish-provenance-and-integrity/view-linked-artifacts).