供应链安全项目in-toto开源框架详解

引言:in-toto 是一个开源框架,能够以密码学的方式验证构件生产路径上的每个组件和步骤。它可与主流的构建工具、部署工具进行集成。in-toto已经被CNCF技术监督委员会 (Technical Oversight Committee,TOC)接纳为CNCF孵化项目。

1. 背景

由于近年来,全球供应链攻击事件频发,安全问题日益凸显。传统的供应链安全管理方法难以应对日益复杂的威胁环境,因此需要一个更为有效的方法来确保供应链的安全。

2. 简介

intoto提供了一个保护软件供应链的完整性的开源框架,通过验证链中的每个任务都是按计划执行的,仅由授权人员执行,并且构建在传输过程中没有被篡改来完成。

在这里插入图片描述

in-toto需要项目所有者创建布局。布局列出了软件供应链的步骤序列,以及授权执行这些步骤的专职人员。当专职人员总共执行一个步骤时,收集有关所用命令和相关文件的信息,并将其存储在链接元数据文件中。因此,链接文件提供了建立连续链所需的证据,该连续链可以根据布局中定义的步骤进行验证。

由项目所有者签名的布局以及由指定功能人员签名的链接作为最终产品的一部分发布,并且可以手动或通过自动工具(例如,包管理器)进行验证。

3. 布局(Layout)

布局由项目所有者创建,要求包含以下内容:

  • 到期日:到期日;
  • 自述文件:供应链的可选描述;
  • 功能密钥:公钥,用于验证链路元数据签名;
  • 签名:使用项目所有者密钥创建的一个或多个布局签名;
  • 软件供应链步骤: 对应于专职人员作为软件供应链的一部分执行的步骤。布局中定义的步骤列出了有权限执行步骤的功能人员(通过键id)。步骤需要一个唯一的名称来将它们(在验证时)与专职人员使用in-toto工具执行步骤时创建的链接元数据相关联。此外,步骤必须具有物料和产品规则,这些规则定义了步骤应该操作的文件。
  • 检查: 定义验证过程中要运行的命令,还可以列出物料和产品规则。

4. 构件规则

软件供应链通常在一组文件上操作,例如源代码、可执行文件、包等。in-totos可调用这些文件。物料是在执行步骤或检查时使用的工件。同样,产品是执行步骤所产生的工件。

in-toto布局提供了一种简单的规则语言来授权或实施步骤的工件,并将它们链接在一起。这为任何给定的步骤或检查增加了以下保证:

  • 只有项目所有者授权的工件才会被创建、修改或删除;
  • 每个定义的创建、修改和删除都被强制执行,并且也限制在其定义的范围内,该范围将后续步骤和检查链接在一起。

软件生产者可通过使用以下任一规则(通常是多个)授权、强制执行和链接物料和产品来适当保护其供应链:

CREATE <pattern>
DELETE <pattern>
MODIFY <pattern>
ALLOW <pattern>
DISALLOW <pattern>
REQUIRE <file>
MATCH <pattern> [IN <source-path-prefix>] WITH (MATERIALS|PRODUCTS) [IN <destination-path-prefix>] FROM <step>

Note:默认情况下,in-toto的工件规则允许工件存在,前提是它们没有被明确禁止。因此,建议将DISALLOW*调用作为大多数步骤定义的最终规则。要了解有关不同规则类型、它们的保证以及如何应用它们的更多信息,请参阅https://github.com/in-toto/in-toto。

5. 优势

in-toto 是一个开源的供应链安全管理框架,旨在帮助组织确保其供应链的安全性和透明度,in-toto 框架具有以下优势:

  1. 透明度:in-toto 框架通过建立供应商与采购方之间的信任关系,实现供应链各环节的透明度。采购方可以实时了解供应商的安全状况,确保供应链的安全。

  2. 自动化:in-toto 框架支持自动化流程,可以快速地识别和管理供应链中的安全风险。通过与现有系统(如ERP系统)集成,可以实现供应链安全数据的自动收集和分析。

  3. 灵活性:in-toto 框架适用于各种规模和组织类型的企业,可以根据企业的具体需求进行定制和扩展。此外,in-toto 支持与多种安全标准和规范(如ISO 27001、NIST CSF等)相结合,为企业提供全面的安全管理方案。

  4. 持续改进:in-toto 框架通过持续监测和评估供应链的安全状况,推动供应链安全持续改进。企业可以根据评估结果,采取相应的措施加强供应链安全管理,降低安全风险。

  5. 开源:in-toto 框架开源,意味着企业可以免费使用和修改源代码,根据自身需求进行定制。这有助于降低企业的安全管理成本,提高供应链安全性。

  6. 合规性:in-toto 框架可以帮助企业满足各种法规和政策要求,如欧盟的《通用数据保护条例》(GDPR)、美国的《加州消费者隐私法》(CCPA)等。这有助于降低企业在合规方面的风险。

总之,in-toto 框架作为一种创新性的供应链安全管理工具,可以帮助企业提高供应链安全水平,降低风险,并确保合规性。

[1] https://in-toto.io/
[2] https://github.com/in-toto/in-toto
[3] https://github.com/in-toto/docs/blob/master/in-toto-spec.md
[4] https://link.zhihu.com/?target=https%3A//intoto.devstats.cncf.io/d/18/overall-project-statistics-table%3ForgId%3D1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/637182.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【富文本编辑器实战】03 Vuex 的配置编写

Vuex 的配置编写 目录 Vuex 的配置编写Vuex 是什么&#xff1f;什么是“状态管理模式”&#xff1f;什么情况下我应该使用 Vuex&#xff1f;安装 Vuex开始使用 VuexAction 文件Mutations-types 文件Mutation 文件Index Vuex 是什么&#xff1f; 这里我们来看看官方网站是如何介…

《游戏-02_2D-开发》

基于《游戏-01_2D-开发》&#xff0c; 继续制作游戏&#xff1a; 首先给人物添加一个2D重力效果 在编辑的项目设置中&#xff0c; 可以看出unity默认给的2D重力数值是-9.81&#xff0c;模拟现实社会中的重力效果 下方可以设置帧率 而Gravity Scale代表 这个数值会 * 重力 还…

// doesn‘t exist

- // doesnt exist 13.3 赋给派生类引用,将发生什么情况呢?派生类引用能够为基对象调用派生类方法,这样做将出现问题。例 如,将RatedPlayer :: Rating()方法用于TableTennisPlayer对象是没有意义的,因为TableTennisPlayer对象没 有rating成员。 如果基类引用和指针可以指向…

webpack 中的loader 和plugin的区别

Loader: 作用&#xff1a; Loader 用于在模块加载时对文件进行转换。它是一个转换器&#xff0c;将文件从一种形式转换为另一种形式&#xff0c;例如&#xff0c;将 ES6 语法的 JavaScript 文件转换为能够在浏览器中运行的普通 JavaScript。使用场景&#xff1a; Loader通常被配…

Addressables(2) ResourceLocation和AssetReference

IResourceLocation var op Addressables.LoadResourceLocationsAsync(key); var result op.WaitForCompletion(); 把加载的Key塞进去&#xff0c;不难看出&#xff0c;IResourceLocation可以用来获得资源的详细信息 很适合用于更新分析&#xff0c;或者一些检查工具 AssetR…

Eureka使用详解

介绍主要特点主要功能与常用服务注册中心的比较Eureka与Zookeeper的区别和联系Eureka与Nacos的区别与联系Eureka与Consul的区别与联系 安装部署Eureka与CAP理论Eureka实现实时上下线Eureka常用注解Eureka架构模式 介绍 Eureka是一个基于REST的服务&#xff0c;主要用于AWS云中…

logstack 日志技术栈-05-windows10 安装 Elasticsearch elasticsearch-8.11.1 实战笔记

安装 Elasticsearch elasticsearch-8.11.1 下载 访问 Elasticsearch 下载页面 解压下载的压缩文件到你选择的目录。 运行 进入 Elasticsearch 目录&#xff0c;运行 bin/elasticsearch.bat 启动 Elasticsearch。 验证 elaasticsearch的默认访问路径是localhost:9200&…

HTTP 认证方式

目录 1.HTTP认证方式2.Python中 HTTP 认证方式的使用 本文主要介绍HTTP 认证方式有哪些及在Python中的基本使用方式。 1.HTTP认证方式 HTTP认证方式主要有以下几种&#xff1a; 基本认证&#xff08;Basic Authentication&#xff09;&#xff1a;客户端将用户名和密码进行B…

一文读懂「RAG,Retrieval-Augmented Generation」检索增强生成

Retrieval-Augmented Generation&#xff08;RAG&#xff09;作为机器学习和自然语言处理领域的一大创新&#xff0c;不仅代表了技术的进步&#xff0c;更在实际应用中展示了其惊人的潜力。 RAG结合了检索&#xff08;Retrieval&#xff09;和生成&#xff08;Generation&#…

Flutter 页面嵌入 Android原生 View

前言 文章主要讲解Flutter页面如何使用Android原生View&#xff0c;但用到了Flutter 和 Android原生 相互通信知识&#xff0c;建议先看完这篇讲解通信的文章 Flutter 与 Android原生 相互通信&#xff1a;BasicMessageChannel、MethodChannel、EventChannel-CSDN博客 数据观…

pdf拆分成各个小pdf的方法

背景:由于某些缘故,一个大的pdf需要拆分成页数少的pdf,或者pdf需要去掉指定页,那么就有必要对pdf进行重新编辑,这里需要用到一个库,直接进行操作即可。 当使用Python时,可以使用PyMuPDF库来拆分PDF文件。以下是一个示例代码, import fitz # PyMuPDF def split_pdf(i…

禅道的安装及使用流程

目录 一.安装 1.下载禅道安装包​http://www.zentao.net/ 2.选择禅道开源版 3.选择需要下载的安装包&#xff08;注意&#xff1a;下载的安装包必须放在根目录&#xff0c;不能移动&#xff09; 4.将下载的安装包双击进行解压&#xff1b;解压后的文件为d:\xampp&#xff1b…

sfml使用opengl着色器实现2d水面波浪

SFML中使用GLSL着色器来绘制水波。 效果 代码 #include <SFML/Graphics.hpp> #include <iostream>int main() {const int WIDTH = 800;

(南京观海微电子)——TCON介绍

TCON板详细介绍 TCON又称&#xff1a;逻辑板&#xff0c;控制板&#xff0c;在液晶电视里的作用和CRT中的视放板相当&#xff0c;但有本质的区别&#xff0c;逻辑板不是一个纯粹的信号放大器&#xff0c;它输入是LVDS格式信号&#xff0c;而不是RGB。逻辑板的作用是把数字板送来…

python进程间通信——命名管道(Named Pipe、FIFO)

文章目录 Python中的命名管道&#xff1a;深入理解进程间通信1. 命名管道简介2. 创建和删除命名管道3. 写入命名管道4. 读取命名管道5. 示例&#xff1a;进程间通信write_to_pipe.pyread_from_pipe.py测试运行 6. 注意事项和限制命名管道的半双工机制命名管道读写任意一方未打开…

记录一次QT乱码问题

问题描述 在敲陆文周的书《QT5开发及实例》的示例代码时&#xff0c;出现乱码&#xff0c;如下图所示 具体代码如下 Widget::Widget(QWidget *parent): QWidget(parent), ui(new Ui::Widget) {ui->setupUi(this);ui->treeWidget->clear();int groupSize 2;int ite…

Pyro —— Velocity Voxel Scale

Velocity Voxel Scale是H19.5引入的新参数&#xff0c;该参数可单独定义volume和速度体素&#xff1b;根据参数设置&#xff0c;可观察到模拟时间的显著变化&#xff1b; Velocity Voxel Scale对DOP和SOP均可用&#xff1b;对DOP设置&#xff0c;该参数在Smoke Object&#xf…

js 小数精确计算 (mathjs / decimal.js)

mathjs import { all, create } from "mathjs";let mathjs create(all, {precision: 14,number: "BigNumber", });/**加法 */ export function jia(left: any, right: any) {return mathjs.floor(Number(mathjs.add(mathjs.bignumber(left), mathjs.bign…

Docker(四)操作容器

作者主页&#xff1a; 正函数的个人主页 文章收录专栏&#xff1a; Docker 欢迎大家点赞 &#x1f44d; 收藏 ⭐ 加关注哦&#xff01; 操作 Docker 容器 容器是 Docker 又一核心概念。 简单的说&#xff0c;容器是独立运行的一个或一组应用&#xff0c;以及它们的运行态环境…

FreeType和HarfBuzz入门示例

最近在了解字体渲染的一些东西&#xff0c;其中不可避免的需要到这两个库。现在写个入门示例记录一下。 一、FreeType和HarfBuzz介绍 1.1 FreeType FreeType 是一个开源的字体引擎&#xff0c;它提供了一套用于渲染字体的 API。FreeType 支持多种字体格式&#xff0c;包括 True…