in-toto
¿Qué es in-toto?
in-totoMarco abierto que atestigua criptográficamente cada paso de una cadena de suministro de software, para que los consumidores verifiquen que el artefacto se construyó y manejó exactamente como pretendía el propietario del proyecto.
in-toto, alojado por la CNCF, modela la cadena de suministro como una secuencia de pasos (clonar, probar, compilar, firmar, publicar...) con entradas, salidas y actores autorizados declarados. Cada paso produce un archivo de metadatos firmados ("link") que registra materiales y productos; un "layout" general, firmado por el propietario del proyecto, define quién debe ejecutar cada paso y cómo fluyen los artefactos. Un verificador puede tomar el artefacto final y las atestaciones asociadas y comprobar que la cadena coincide con la política. Las atestaciones in-toto se usan para expresar procedencia SLSA, resultados de análisis de vulnerabilidades, evidencia de pruebas y otros predicados firmados, distribuidos a menudo vía registros OCI y firmados con Sigstore. Es una tecnología fundacional para cadenas de suministro verificables y alineadas con SLSA.
● Ejemplos
- 01
Pipeline de build que produce procedencia SLSA como atestación in-toto firmada con Cosign.
- 02
Verificador que comprueba que las imágenes de contenedor incluyen atestaciones in-toto de escaneo de vulnerabilidades antes del despliegue.
● Preguntas frecuentes
¿Qué es in-toto?
Marco abierto que atestigua criptográficamente cada paso de una cadena de suministro de software, para que los consumidores verifiquen que el artefacto se construyó y manejó exactamente como pretendía el propietario del proyecto. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa in-toto?
Marco abierto que atestigua criptográficamente cada paso de una cadena de suministro de software, para que los consumidores verifiquen que el artefacto se construyó y manejó exactamente como pretendía el propietario del proyecto.
¿Cómo funciona in-toto?
in-toto, alojado por la CNCF, modela la cadena de suministro como una secuencia de pasos (clonar, probar, compilar, firmar, publicar...) con entradas, salidas y actores autorizados declarados. Cada paso produce un archivo de metadatos firmados ("link") que registra materiales y productos; un "layout" general, firmado por el propietario del proyecto, define quién debe ejecutar cada paso y cómo fluyen los artefactos. Un verificador puede tomar el artefacto final y las atestaciones asociadas y comprobar que la cadena coincide con la política. Las atestaciones in-toto se usan para expresar procedencia SLSA, resultados de análisis de vulnerabilidades, evidencia de pruebas y otros predicados firmados, distribuidos a menudo vía registros OCI y firmados con Sigstore. Es una tecnología fundacional para cadenas de suministro verificables y alineadas con SLSA.
¿Cómo defenderse de in-toto?
Las defensas contra in-toto combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para in-toto?
Nombres alternativos comunes: in-toto.
● Términos relacionados
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro.
- appsec№ 870
Atestación de procedencia
Declaración firmada y verificable por máquina que describe cómo se produjo un artefacto de software —fuente, sistema de build, parámetros y dependencias— para que los consumidores confíen en su origen.
- appsec№ 1044
Sigstore
Proyecto open source de la Linux Foundation que facilita firmar, verificar y proteger artefactos de software combinando claves efímeras, identidades OIDC y un registro de transparencia.
- appsec№ 226
Cosign
CLI open source del proyecto Sigstore para firmar, verificar y atestiguar artefactos OCI y otro software, usando flujos con o sin claves de larga duración.
- appsec№ 1069
Seguridad de la cadena de suministro de software
Disciplina que protege cada eslabón de la producción de software —fuente, dependencias, build, firma, distribución y despliegue— frente a manipulación, código malicioso y pérdida de integridad.
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventario formal y legible por máquina de los componentes, bibliotecas y dependencias que componen un software, junto con sus versiones y relaciones.