in-toto
Was ist in-toto?
in-totoOffenes Framework, das jeden Schritt einer Software-Lieferkette kryptografisch attestiert, damit Konsumenten überprüfen können, dass das Artefakt genau wie vom Projektverantwortlichen vorgesehen erzeugt und behandelt wurde.
in-toto, gehostet von der CNCF, modelliert eine Lieferkette als Sequenz von Schritten (Clone, Test, Build, Signatur, Publishing usw.) mit deklarierten Eingaben, Ausgaben und autorisierten Akteuren. Jeder Schritt erzeugt eine signierte "Link"-Metadatendatei, die Materialien und Produkte protokolliert; ein vom Projektverantwortlichen signiertes Gesamt-"Layout" legt fest, wer welchen Schritt ausführen darf und wie die Artefakte zwischen Schritten fließen. Ein Prüfer nimmt das finale Artefakt mit den Attestationen und prüft, ob die Kette der Policy entspricht. in-toto-Attestationen werden für SLSA-Provenance, Vulnerability-Scan-Ergebnisse, Test-Belege und weitere signierte Prädikate genutzt, häufig über OCI-Registries verteilt und mit Sigstore signiert. Es ist eine Grundlagentechnologie verifizierbarer, SLSA-konformer Lieferketten.
● Beispiele
- 01
Build-Pipeline, die SLSA-Provenance als Cosign-signierte in-toto-Attestation erzeugt.
- 02
Verifier, der vor dem Deployment prüft, ob Container-Images in-toto-Attestationen aus Vulnerability-Scans enthalten.
● Häufige Fragen
Was ist in-toto?
Offenes Framework, das jeden Schritt einer Software-Lieferkette kryptografisch attestiert, damit Konsumenten überprüfen können, dass das Artefakt genau wie vom Projektverantwortlichen vorgesehen erzeugt und behandelt wurde. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet in-toto?
Offenes Framework, das jeden Schritt einer Software-Lieferkette kryptografisch attestiert, damit Konsumenten überprüfen können, dass das Artefakt genau wie vom Projektverantwortlichen vorgesehen erzeugt und behandelt wurde.
Wie funktioniert in-toto?
in-toto, gehostet von der CNCF, modelliert eine Lieferkette als Sequenz von Schritten (Clone, Test, Build, Signatur, Publishing usw.) mit deklarierten Eingaben, Ausgaben und autorisierten Akteuren. Jeder Schritt erzeugt eine signierte "Link"-Metadatendatei, die Materialien und Produkte protokolliert; ein vom Projektverantwortlichen signiertes Gesamt-"Layout" legt fest, wer welchen Schritt ausführen darf und wie die Artefakte zwischen Schritten fließen. Ein Prüfer nimmt das finale Artefakt mit den Attestationen und prüft, ob die Kette der Policy entspricht. in-toto-Attestationen werden für SLSA-Provenance, Vulnerability-Scan-Ergebnisse, Test-Belege und weitere signierte Prädikate genutzt, häufig über OCI-Registries verteilt und mit Sigstore signiert. Es ist eine Grundlagentechnologie verifizierbarer, SLSA-konformer Lieferketten.
Wie schützt man sich gegen in-toto?
Schutzmaßnahmen gegen in-toto kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für in-toto?
Übliche alternative Bezeichnungen: in-toto.
● Verwandte Begriffe
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: ein vom OpenSSF veröffentlichter stufenweiser Anforderungskatalog, der Erstellung, Signatur und Verifikation von Software gegen Lieferketten-Manipulation zunehmend härtet.
- appsec№ 870
Provenance-Attestation
Signierte, maschinell verifizierbare Aussage darüber, wie ein Software-Artefakt entstanden ist - Quelle, Build-System, Parameter und Abhängigkeiten - damit Konsumenten dem Ursprung vertrauen können.
- appsec№ 1044
Sigstore
Open-Source-Projekt der Linux Foundation, das Signatur, Verifikation und Schutz von Software-Artefakten mittels kurzlebiger Schlüssel, OIDC-Identitäten und Transparenz-Log einfach macht.
- appsec№ 226
Cosign
Open-Source-CLI des Sigstore-Projekts zum Signieren, Verifizieren und Attestieren von OCI-Artefakten und anderer Software, wahlweise mit Schlüssel oder keyless.
- appsec№ 1069
Software-Supply-Chain-Sicherheit
Disziplin zum Schutz jedes Glieds der Software-Produktion - Quellcode, Abhängigkeiten, Build, Signatur, Distribution und Deployment - gegen Manipulation, bösartigen Code und Integritätsverlust.
- appsec№ 1068
Software Bill of Materials (SBOM)
Formales, maschinenlesbares Verzeichnis der Komponenten, Bibliotheken und Abhängigkeiten einer Software einschließlich ihrer Versionen und Beziehungen.