1. in-toto
in-toto 是一个通过收集和验证相关数据来保护软件供应链的框架。它通过使库能够收集关于软件供应链行为的信息,并允许软件消费者和项目经理发布关于软件供应链实践的政策来做到这一点,这些政策可以在部署或安装软件之前进行验证。简而言之,它有助于捕获软件供应链中发生的事情,并确保它按照定义的策略发生。
该项目于 2015 年由纽约大学坦顿工程学院的安全系统实验室创建。从那时起,它一直在不断发展,以更好地适应不同软件生态系统中的实践,并更好地与其他云技术(如 SPIFFE 和 SPIRE)集成。因为一个链的强度取决于它最薄弱的环节,所以这个项目仍然有足够的可塑性来保护软件供应链的每一个方面——从源代码到加入 Kubernetes 集群以及其他。
in-toto提供了框架来保护软件供应链的完整性。它通过验证链中的每一项任务都是按计划执行的,仅由授权人员执行,并且产品在运输过程中没有被篡改,从而做到这一点。
in-toto要求项目所有者创建布局。布局列出了软件供应链的步骤序列,以及授权执行这些步骤的人员。
当函数执行in-toto步骤时,将收集有关使用的命令和相关文件的信息,并将其存储在链接元数据文件中。因此,链接文件提供了建立连续链所需的证据,可以根据布局中定义的步骤进行验证。由项目所有者签名的布局,以及由指定的功能人员签名的链接,作为最终产品的一部分发布,并且可以通过手工或自动化工具(例如包管理器)进行验证。
该项目在 CNCF 托管:
- CNCF 分层:供应层
- CNCF 分类:安全与合规性
- CNCF 成熟度:孵化中