来源和信任

来源声明可以是理解包的安全性和可信度的有用工具。它们提供了一种方法来验证包是否从预期源代码构建，以及它是否由预期的人员或组织发布。

JSR 会自动为从 GitHub Actions 发布的每个包创建来源声明。这些声明使用 软件工件供应链级别 (SLSA) 框架创建，并存储在 Sigstore Rekor 透明日志中。

要发布包的来源，您必须从 GitHub Actions 工作流发布包。工作流必须使用 jsr publish 或 deno publish 命令来发布包。您必须使用如 发布指南 中所述的原生 JSR + GitHub Actions 发布集成。如果满足这些条件，JSR 将自动为包创建来源声明。

您可以通过在发布包时设置 --no-provenance 标志来选择不为包创建来源声明。

您可以通过访问 jsr.io 上的包页面来查看包的来源声明。在概述选项卡的底部，您将看到一个“来源”部分。此部分将包含指向包的 Sigstore 透明日志条目的链接。

未来支持

将来，JSR 还将对上传的包清单进行签名，并将此签名发布到 Sigstore 透明日志。这将提供一种方法来验证包清单在上传到 JSR 后是否未被篡改。此发布证明功能尚未实现，但计划在将来某个日期实现。

此外，JSR 将为 JSR 提供的 NPM tarball 提供发布证明。这尚未实现，但计划在未来某个日期实现。