SLSA: nais/docker-build-push og nais/attest-sign

[ybelMekk]

Idag kan en bruker definere action input salsa, som er default true, det betyr at hvis den er satt til true, vill det genereres en sbom og siden vill action signere image og sbom, hvis salsa: false gjør vi inget av di 2.

Vi bør dele dette opp, så hvis salsa: er true så gjøre vi som nu ☝ , hvis false, ikke lag en sbom, bare signere image.

Dette vil da redusere byggetiden for dem som ønsker, men fortsatt signere image, vi vet da hvor image kommer ifra og hva som bygt det.

Picante bør då også ha muligheten for å sjekke signaturen på images ikke bare sbom som idag.

[ybelMekk]

Denne kommer ikke p bli gjennomført, då vi ønsker at alle skal ha en sbom :D