2025 年 4 月 23 日,云原生计算基金会(CNCF)宣布in-toto框架毕业,这是一个旨在通过确保软件开发生命周期中的每一步(如构建、签名和部署)都得到适当授权和可验证,以维护供应链完整性的框架。这一举措标志着 in-toto 已经实现了完全的成熟和稳定,加入了其他已被广泛采用已准备好大规模生产的 CNCF 毕业项目。
in-toto 主要由纽约大学坦顿工程学院的研究人员开发,提供了一个声明性框架,使组织能够定义策略,确保只有授权的操作者按照正确的顺序执行特定的构建步骤。它使用签名的元数据来创建一个从源代码到最终软件工件的可跟踪记录。这种模型有助于防止篡改、未经授权的行为和内部威胁,以应对日益增多和复杂性不断增加的软件供应链攻击。
CNCF的首席技术官Chris Aniszczyk强调了它的及时影响:
in-toto 解决了我们生态系统中一个关键且日益增长的需求,确保了软件构建和交付方式的信任和完整性。随着软件供应链威胁的规模和复杂性不断增长,in-toto 使组织能够自信地验证其开发工作流程,降低风险,实现合规,并最终加速安全创新。
in-toto 从 2019 年的沙箱项目到 2022 年初的孵化项目,再到 2023 年中期稳定的 1.0 规范,其毕业之路得到了包括美国国家科学基金会(National Science Foundation)、DARPA和空军研究实验室(Air Force Research Laboratory)在内的主要美国联邦机构的支持,它们提供了资金和研究支持。它已经被Autodesk和SolarWinds等组织使用,并与OpenVEX和SLSA等标准集成,in-toto 正在各个领域获得关注。
Witness和Archivista等工具使开发者更容易实施 in-toto。Autodesk的软件架构师Jesse Sanford指出:
Witness 和 Archivista 显著降低了开发者之间的摩擦,这确实使 in-toto 框架脱颖而出……我们现在可以在默认情况下安全地运行。
从 CNCF 毕业标志着一个重要时刻:in-toto 现在被他们认为是生产就绪的,提供了一种系统化的方式来防御供应链威胁,并通过可验证的工作流程来满足监管标准。CNCF 计划继续推进该项目,包括增强策略语言支持和开发人员体验。
原文链接:
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论