建立來源和信任

來源陳述可用於了解套件的安全性與可信度，它們提供一種方法來驗證套件是否從預期的原始程式碼建置，並由預期的個人或組織發布。

JSR 自動為從 GitHub Actions 發布的每個套件建立來源陳述，這些陳述是使用 軟體人工製品供應鏈層級 (SLSA) 架構建立，並儲存在 Sigstore Rekor 透明化記錄中。

如要發布套件的來源，您必須從 GitHub Actions 工作流程發布套件，工作流程必須使用 jsr publish 或 deno publish 指令發布套件，您必須使用本 發布指南 所述的原生 JSR + GitHub Actions 發布整合，若符合這些條件，JSR 便會自動為套件建立來源陳述。

您可以在發布套件時設定 --no-provenance 旗標，以選擇不為套件建立來源陳述。

您可以在 jsr.io 上瀏覽套件頁面來檢視套件的出處聲明。在概觀分頁的底部，您會看到「出處」區段。該區段會包含連結到 Sigstore 透明化記錄中該套件的項目。

未來支援

未來，JSR 將會另外簽署上傳的套件清單，並將這個簽章發布到 Sigstore 透明化記錄。這將提供一種方式，用於驗證套件清單在上傳到 JSR 後未經竄改。這個發佈見證功能尚未實作，但計畫在未來某個日期實作。

此外，JSR 將提供 JSR 提供的 NPM tarball 發佈見證。這也尚未實作，但計畫在未來某個日期實作。