A confiança sem confiança não exige resultados não verificáveis. A proveniência do software tem-se baseado em suposições sociais, mas a Prova de Construção ancla-a com provas verificáveis em cadeia. Uma análise mais profunda do fluxo de trabalho em 7 etapas ↓

Passo 1: Iniciação Um desenvolvedor comete código, e as alterações são enviadas para um repositório no ambiente de construção.

Passo 2: Construção do artefato O pipeline CI/CD compila o binário e gera um arquivo de proveniência SLSA, assinando-o através da infraestrutura Sigstore.

Passo 3: Ingestão (entrada do zkVM) O programa convidado zkVM recebe: ▶︎ Pacote de proveniência SLSA ▶︎ Raízes de confiança do Sigstore fixadas (Fulcio CA, chaves públicas TSA) ▶︎ Marcação de tempo (registos de transparência TSA ou Rekor) ▶︎ Política esperada (opcional, por exemplo, digests de construção permitidos)

Passo 4: Execução Dentro do ambiente de conhecimento zero, o programa convidado realiza etapas para verificar as assinaturas, a cadeia de certificados e os carimbos de data/hora. Uma prova ZK-SNARK é gerada para provar que a verificação da proveniência foi bem-sucedida.

Passo 5: Submissão onchain A prova ZK sucinta é submetida ao contrato inteligente Ethereum.

Passo 6: Atestação O contrato inteligente valida a matemática da prova e emite um evento verificado contendo os resultados da construção.

Passo 7: Verificação final de confiança O verificador a montante consome o evento onchain para confiar no artefato.