供应链安全项目in-toto开源框架详解

引言:in-toto 是一个开源框架,能够以密码学的方式验证构件生产路径上的每个组件和步骤。它可与主流的构建工具、部署工具进行集成。in-toto已经被CNCF技术监督委员会 (Technical Oversight Committee,TOC)接纳为CNCF孵化项目。

1. 背景

由于近年来,全球供应链攻击事件频发,安全问题日益凸显。传统的供应链安全管理方法难以应对日益复杂的威胁环境,因此需要一个更为有效的方法来确保供应链的安全。

2. 简介

intoto提供了一个保护软件供应链的完整性的开源框架,通过验证链中的每个任务都是按计划执行的,仅由授权人员执行,并且构建在传输过程中没有被篡改来完成。

在这里插入图片描述

in-toto需要项目所有者创建布局。布局列出了软件供应链的步骤序列,以及授权执行这些步骤的专职人员。当专职人员总共执行一个步骤时,收集有关所用命令和相关文件的信息,并将其存储在链接元数据文件中。因此,链接文件提供了建立连续链所需的证据,该连续链可以根据布局中定义的步骤进行验证。

由项目所有者签名的布局以及由指定功能人员签名的链接作为最终产品的一部分发布,并且可以手动或通过自动工具(例如,包管理器)进行验证。

3. 布局(Layout)

布局由项目所有者创建,要求包含以下内容:

  • 到期日:到期日;
  • 自述文件:供应链的可选描述;
  • 功能密钥:公钥,用于验证链路元数据签名;
  • 签名:使用项目所有者密钥创建的一个或多个布局签名;
  • 软件供应链步骤: 对应于专职人员作为软件供应链的一部分执行的步骤。布局中定义的步骤列出了有权限执行步骤的功能人员(通过键id)。步骤需要一个唯一的名称来将它们(在验证时)与专职人员使用in-toto工具执行步骤时创建的链接元数据相关联。此外,步骤必须具有物料和产品规则,这些规则定义了步骤应该操作的文件。
  • 检查: 定义验证过程中要运行的命令,还可以列出物料和产品规则。

4. 构件规则

软件供应链通常在一组文件上操作,例如源代码、可执行文件、包等。in-totos可调用这些文件。物料是在执行步骤或检查时使用的工件。同样,产品是执行步骤所产生的工件。

in-toto布局提供了一种简单的规则语言来授权或实施步骤的工件,并将它们链接在一起。这为任何给定的步骤或检查增加了以下保证:

  • 只有项目所有者授权的工件才会被创建、修改或删除;
  • 每个定义的创建、修改和删除都被强制执行,并且也限制在其定义的范围内,该范围将后续步骤和检查链接在一起。

软件生产者可通过使用以下任一规则(通常是多个)授权、强制执行和链接物料和产品来适当保护其供应链:

CREATE <pattern>
DELETE <pattern>
MODIFY <pattern>
ALLOW <pattern>
DISALLOW <pattern>
REQUIRE <file>
MATCH <pattern> [IN <source-path-prefix>] WITH (MATERIALS|PRODUCTS) [IN <destination-path-prefix>] FROM <step>

Note:默认情况下,in-toto的工件规则允许工件存在,前提是它们没有被明确禁止。因此,建议将DISALLOW*调用作为大多数步骤定义的最终规则。要了解有关不同规则类型、它们的保证以及如何应用它们的更多信息,请参阅https://github.com/in-toto/in-toto。

5. 优势

in-toto 是一个开源的供应链安全管理框架,旨在帮助组织确保其供应链的安全性和透明度,in-toto 框架具有以下优势:

  1. 透明度:in-toto 框架通过建立供应商与采购方之间的信任关系,实现供应链各环节的透明度。采购方可以实时了解供应商的安全状况,确保供应链的安全。

  2. 自动化:in-toto 框架支持自动化流程,可以快速地识别和管理供应链中的安全风险。通过与现有系统(如ERP系统)集成,可以实现供应链安全数据的自动收集和分析。

  3. 灵活性:in-toto 框架适用于各种规模和组织类型的企业,可以根据企业的具体需求进行定制和扩展。此外,in-toto 支持与多种安全标准和规范(如ISO 27001、NIST CSF等)相结合,为企业提供全面的安全管理方案。

  4. 持续改进:in-toto 框架通过持续监测和评估供应链的安全状况,推动供应链安全持续改进。企业可以根据评估结果,采取相应的措施加强供应链安全管理,降低安全风险。

  5. 开源:in-toto 框架开源,意味着企业可以免费使用和修改源代码,根据自身需求进行定制。这有助于降低企业的安全管理成本,提高供应链安全性。

  6. 合规性:in-toto 框架可以帮助企业满足各种法规和政策要求,如欧盟的《通用数据保护条例》(GDPR)、美国的《加州消费者隐私法》(CCPA)等。这有助于降低企业在合规方面的风险。

总之,in-toto 框架作为一种创新性的供应链安全管理工具,可以帮助企业提高供应链安全水平,降低风险,并确保合规性。

[1] https://in-toto.io/
[2] https://github.com/in-toto/in-toto
[3] https://github.com/in-toto/docs/blob/master/in-toto-spec.md
[4] https://link.zhihu.com/?target=https%3A//intoto.devstats.cncf.io/d/18/overall-project-statistics-table%3ForgId%3D1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/336269.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

微信小程序之WXML 模板语法之数据绑定、事件绑定、wx:if和列表渲染

学习的最大理由是想摆脱平庸&#xff0c;早一天就多一份人生的精彩&#xff1b;迟一天就多一天平庸的困扰。各位小伙伴&#xff0c;如果您&#xff1a; 想系统/深入学习某技术知识点… 一个人摸索学习很难坚持&#xff0c;想组团高效学习… 想写博客但无从下手&#xff0c;急需…

一键搭建你的知识库

效果 说明 由于安装包安装需要glibc>2.7 我就不尝试了 因为glib升级是一个繁琐的过程 没有升级的意义 只是为了体验知识库 没必要浪费时间 1.1docker compose部署trilium 1.1.创建目录 mkdir -p /opt/triliumcd /opt/trilium 1.2.编写docker-comppose.yml文件 vim dock…

使用STM32的GPIO口实现LED闪烁

✅作者简介&#xff1a;热爱科研的嵌入式开发者&#xff0c;修心和技术同步精进 代码获取、问题探讨及文章转载可私信。 ☁ 愿你的生命中有够多的云翳,来造就一个美丽的黄昏。 &#x1f34e;获取更多嵌入式资料可点击链接进群领取&#xff0c;谢谢支持&#xff01;&#x1f447…

JavaWeb-Cookie与Session

一、概念 是否还记得我们在HTTP概念中提到&#xff1a;HTTP的一大特点是无状态&#xff0c;这意味着多次HTTP请求之间是无法共享数据的。而在请求之间共享一些数据又是我们期望达到的效果。&#xff08;例如登录的记住我功能&#xff09;于是便有了会话跟踪技术&#xff0c;而…

Qt拖拽组件与键盘事件

1.相关说明 1.设置widget或view的拖拽和放置模式函数setDragDropMode参数说明&#xff0c;NoDragDrop(无拖拽和放置)、DragOnly(只允许拖拽)、DropOnly(只允许放置)、DragDrop(允许拖拽和放置)、InternalMove(只移动不复制) 2.设置widget或view的放置动作函数setDefaultDropAct…

python 实现大语言模型中的概率论:两人轮流出手对决时取胜概率的推导

假设你跟朋友通过打赌投篮来打赌一万块。你们找到一个篮球框&#xff0c;然后约定轮流投篮&#xff0c;谁先投进谁赢。假设你投进的概率是 p&#xff0c;也就是投不进的概率是 1-p&#xff0c;你对手投进的概率是 q,投不进的概率是 1-q&#xff0c;如果由你先投&#xff0c;那么…

反序列化提升刷题(2)

今天的例题&#xff1a; <?phphighlight_file(__FILE__);class ctfshowvip{public $username;public $password;public $code;public function __construct($u,$p){$this->username$u;$this->password$p;}public function __wakeup(){if($this->username! || $thi…

解决 vue 项目开发越久 node_modules包越大的问题

解决 vue 项目开发越久 node_modules包越大的问题 node_modules.cache 文件&#xff08;编译缓存文件 可以删除 &#xff09; compression-webpack-plugin 禁止缓存 const CompressionPlugin require("compression-webpack-plugin");module.exports {plugins: [ne…

面向对象之深度优先和广度优先

面向对象深度优先和广度优先是什么&#xff1f; 二叉树的两种遍历是数据结构的经典考察题目, 广度遍历考察队列结构, 深度遍历考察递归 深度优先 先序遍历(父, 左子, 右子) 0, 1, 3, 7, 8, 4, 9, 2, 5, 6 中序遍历(左子, 父, 右子) 7, 3, 8, 1, 9, 4, 0, 5, 2, 6 后序遍历(左子…

SpringBoot跨域问题解决

前端访问后台接口时&#xff0c;浏览器报错&#xff0c;跨域无法访问。 报错信息如下&#xff1a; Response to preflight request doesnt pass access control check: No Access-Control-Allow-Origin header is present on the requested resource. 经过一番百度之后&#…

【JVM】运行时数据区

文章目录 运行时数据区程序计数器栈栈帧 堆方法区本地方法栈直接内存变量存储位置 面试题本地方法栈有什么用&#xff1f;没有程序计数器会怎么样&#xff1f;说一说Java的内存分布情况类存放在哪里&#xff1f;局部变量存放在哪里&#xff1f; 运行时数据区 java虚拟机在运行…

acwing讲解篇之93. 递归实现组合型枚举

文章目录 题目描述题解思路题解代码 题目描述 题解思路 本题相当于二叉树的深度优先遍历&#xff0c;树的第i层表示第i个数选或不选&#xff0c;当选择了m次左节点后退出 我们记录当前递归的深度deep 然后用state进行状态压缩&#xff0c;state第i位是1表示选第i个数&#xff…

FaFu--练习复盘--2

3、函数练习 3.1、函数表达式&#xff08;1&#xff09; 描述 根据以下公式计算数学表达式的值&#xff0c;并将结果作为函数值返回。在main()函数中输入x&#xff0c;调用函数fun(x)&#xff0c;并输出fun(x)的值。 输入 输入1行&#xff0c;包含1个double类型的浮点数&…

git22端口超时

笔记本换了个主板后&#xff0c;将内容用git上传到GitHub时发现22端口超时。 以为是网络啥的原因&#xff0c;但是用ssh -T gitgithub.com进行多次测试&#xff0c;发现不是网络问题。按照网上操作&#xff0c;在.ssh文件夹内将config文件进行修改&#xff0c;改成&#xff1a;…

python爬取图片(thumbURL和html文件标签分别爬取)

当查看源代码&#xff0c;发现网址在thumbURL之后时&#xff0c;用此代码: # 当查看源代码&#xff0c;发现网址在thumbURL之后时&#xff0c;用此代码:import requestsheaders {User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121…

cs231n assignment1——SVM

整体思路 加载CIFAR-10数据集并展示部分数据数据图像归一化&#xff0c;减去均值&#xff08;也可以再除以方差&#xff09;svm_loss_naive和svm_loss_vectorized计算hinge损失&#xff0c;用拉格朗日法列hinge损失函数利用随机梯度下降法优化SVM在训练集和验证集计算准确率&a…

vue项目执行依赖安装(npm i或npm install )报ls-remote -h -t异常

从git拉取的vue项目执行依赖安装时一直报错&#xff0c; 报错如下图&#xff1a;首先&#xff0c;查看了node版本、npm配置的镜像地址均没找到解决办法。 在命令行中直接输入git发现提示于是从网上搜到了一个博文https://blog.csdn.net/weixin_49159364/article/details/118198…

【LeetCode】141. 环形链表

leetcode题目链接 141. 环形链表 #include <stdio.h> #include <stdbool.h>struct ListNode {int val;struct ListNode* next; }; typedef struct ListNode ListNode;bool hasCycle(ListNode* head) {ListNode* slow head, * fast head;while (fast &&…

2023年上半年网络工程师真题(1/3)

1.固态硬盘的存储介质是&#xff08;B&#xff09;。 A.光盘 B.闪存 C.软盘 D.磁盘 SSD存储介质是FLASH(一块块的存储芯片)&#xff0c;HDD(机械硬盘)存储介质是磁盘(机械臂和盘道)&#xff0c;补充:U盘的存储介质也是FLASH闪存。 2.虚拟存储技术把&#xff08;A&#xf…

最长公共前缀(Leetcode14)

例题&#xff1a; 分析&#xff1a; 我们可以先定义两个变量 i &#xff0c; j&#xff0c; j表示数组中的每一个字符串&#xff0c; i 表示每个字符串中的第几个字符。一列一列地进行比较&#xff0c;先比较第一列的字符&#xff0c;若都相同&#xff0c;则 i &#xff0c;继…