Por que a procedência da cadeia de suprimentos de software está virando requisito padrão de build

Segurança da cadeia de suprimentos de software já não é só um assunto especializado. Com pipelines mais complexos e mais dependências, a procedência do build passa ao centro das ferramentas de desenvolvimento.

Provenance significa evidência assinada de como um artefato foi gerado, de qual commit, com qual workflow e em qual ambiente. Junto com SBOM e assinaturas, isso reduz lacunas de confiança.

Isso importa porque muitos ataques atingem o espaço entre desenvolvimento e deploy. Se a equipe não consegue provar a origem de um binário, a automação de release vira risco.

Por isso a procedência está se tornando requisito padrão do build moderno.