feat: security-checklist に gh attestation verify / SLSA provenance 検証パターンを追加

## 背景

PR #22 で ghalint バイナリの検証を `sha256sum` checksums から `gh attestation verify` (SLSA provenance) に切り替えた。
この検証パターンは `audit-actions` や `pin-actions` スキルでも推奨すべきベストプラクティス。

## 現状

- `security-checklist.md` にはアクションの SHA ピン留めチェックはあるが、**サードパーティバイナリの検証パターン**に関する記載がない
- `sha-pinning-guide.md` にも `gh attestation verify` の言及なし

## 対応

### security-checklist.md
- [ ] 新規チェック項目「Binary Verification」を追加（Info レベル）
  - `curl | bash` や `curl | tar` パターンの検出
  - `gh attestation verify` への切り替え推奨
  - checksums 検証との違い（ハッシュ一致 vs ビルド出自の暗号検証）

### sha-pinning-guide.md or upgrade-patterns.md
- [ ] `gh attestation verify` の使用例を追加
  - `gh release download` + `gh attestation verify --signer-workflow` のパターン
  - GitHub-hosted runner ではプリインストール済みで追加セットアップ不要

## 参考
- PR #22: ghalint の attestation verify 切り替え実装
- https://cli.github.com/manual/gh_attestation_verify
- https://slsa.dev/

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

feat: security-checklist に gh attestation verify / SLSA provenance 検証パターンを追加 #23

背景

現状

対応

security-checklist.md

sha-pinning-guide.md or upgrade-patterns.md

参考

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

feat: security-checklist に gh attestation verify / SLSA provenance 検証パターンを追加 #23

Description

背景

現状

対応

security-checklist.md

sha-pinning-guide.md or upgrade-patterns.md

参考

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions