Eine Provenance-Prüfung verifiziert die Herkunft und Authentizität von Softwarekomponenten. Sie beantwortet die Frage: Stammt diese Bibliothek oder dieses Artefakt tatsächlich vom angegebenen Herausgeber, und wurde es unterwegs nicht manipuliert? Prüfmethoden umfassen digitale Signaturen, Hash-Vergleiche und SLSA-Attestierungen (Supply-chain Levels for Software Artifacts). Provenance-Prüfungen sind eine zentrale Maßnahme gegen Supply-Chain-Angriffe, bei denen Angreifer kompromittierte Pakete in Dependency-Repositories einschleusen. In Deiner CI/CD-Pipeline solltest Du die Provenance automatisiert prüfen, bevor Abhängigkeiten eingebunden werden. SBOMs (Software Bill of Materials) ergänzen die Provenance-Prüfung um eine vollständige Transparenz der enthaltenen Komponenten.