InfoQ
·
CNCF 毕业 in‑toto,增强软件供应链安全性
内容提要
2025年4月23日,云原生计算基金会宣布in-toto框架毕业,成为成熟的供应链完整性框架。该框架确保软件开发生命周期的每一步都经过授权和可验证,防止篡改和内部威胁,已被多家机构采用,支持合规与安全创新,标志着其在生产环境中的应用准备就绪。
关键要点
-
2025年4月23日,云原生计算基金会宣布in-toto框架毕业,成为成熟的供应链完整性框架。
-
in-toto框架确保软件开发生命周期的每一步都经过授权和可验证,防止篡改和内部威胁。
-
该框架已被多家机构采用,支持合规与安全创新,标志着其在生产环境中的应用准备就绪。
-
in-toto由纽约大学坦登工程学院的研究人员主要开发,提供声明性框架以定义政策。
-
in-toto使用签名元数据创建可追溯记录,帮助防止篡改和未授权行为。
-
CNCF首席技术官Chris Aniszczyk强调in-toto在确保软件构建和交付的信任与完整性方面的重要性。
-
in-toto从2019年的沙盒项目发展到2022年的孵化阶段,再到2023年中期的稳定1.0规范。
-
美国国家科学基金会、DARPA和空军研究实验室等主要联邦机构支持in-toto的资金和研究。
-
in-toto已被Autodesk和SolarWinds等组织使用,并与OpenVEX和SLSA等标准集成。
-
工具如Witness和Archivista使得开发者更容易实施in-toto,减少了开发者的摩擦。
-
CNCF的毕业标志着in-toto被认可为生产就绪,提供系统化的供应链威胁防御方式。
延伸问答
in-toto框架的主要功能是什么?
in-toto框架确保软件开发生命周期的每一步都经过授权和可验证,防止篡改和内部威胁。
in-toto框架的毕业意味着什么?
in-toto框架的毕业标志着其成熟和稳定,已被认可为生产就绪,能够系统化地防御供应链威胁。
哪些机构支持in-toto的开发和研究?
in-toto的开发和研究得到了美国国家科学基金会、DARPA和空军研究实验室等主要联邦机构的支持。
in-toto框架如何帮助防止软件供应链攻击?
in-toto使用签名元数据创建可追溯记录,帮助防止篡改和未授权行为,从而应对软件供应链攻击。
in-toto框架的开发背景是什么?
in-toto框架主要由纽约大学坦登工程学院的研究人员开发,旨在提供声明性框架以定义政策。
in-toto框架与哪些标准集成?
in-toto框架已与OpenVEX和SLSA等标准集成,增强其在不同领域的应用。
