in-toto
Qu'est-ce que in-toto ?
in-totoCadre ouvert qui atteste cryptographiquement chaque étape d'une chaîne d'approvisionnement logicielle pour que les consommateurs vérifient que l'artefact a été produit et manipulé exactement comme le propriétaire du projet l'a prévu.
in-toto, hébergé par la CNCF, modélise la chaîne logicielle comme une séquence d'étapes (clone, test, build, signature, publication, etc.) avec entrées, sorties et acteurs autorisés déclarés. Chaque étape produit un fichier de métadonnées signé ("link") consignant matériaux et produits ; un "layout" global signé par le propriétaire définit qui doit exécuter chaque étape et comment les artefacts circulent. Un vérificateur prend l'artefact final et les attestations correspondantes et vérifie que la chaîne respecte la politique. Les attestations in-toto expriment la provenance SLSA, les résultats de scan, les preuves de tests et d'autres prédicats signés, souvent distribués via des registres OCI et signés avec Sigstore. C'est une brique fondatrice des chaînes logicielles vérifiables et alignées SLSA.
● Exemples
- 01
Pipeline de build produisant la provenance SLSA sous forme d'attestation in-toto signée avec Cosign.
- 02
Vérificateur contrôlant que les images conteneurs portent des attestations in-toto de scan de vulnérabilités avant déploiement.
● Questions fréquentes
Qu'est-ce que in-toto ?
Cadre ouvert qui atteste cryptographiquement chaque étape d'une chaîne d'approvisionnement logicielle pour que les consommateurs vérifient que l'artefact a été produit et manipulé exactement comme le propriétaire du projet l'a prévu. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie in-toto ?
Cadre ouvert qui atteste cryptographiquement chaque étape d'une chaîne d'approvisionnement logicielle pour que les consommateurs vérifient que l'artefact a été produit et manipulé exactement comme le propriétaire du projet l'a prévu.
Comment fonctionne in-toto ?
in-toto, hébergé par la CNCF, modélise la chaîne logicielle comme une séquence d'étapes (clone, test, build, signature, publication, etc.) avec entrées, sorties et acteurs autorisés déclarés. Chaque étape produit un fichier de métadonnées signé ("link") consignant matériaux et produits ; un "layout" global signé par le propriétaire définit qui doit exécuter chaque étape et comment les artefacts circulent. Un vérificateur prend l'artefact final et les attestations correspondantes et vérifie que la chaîne respecte la politique. Les attestations in-toto expriment la provenance SLSA, les résultats de scan, les preuves de tests et d'autres prédicats signés, souvent distribués via des registres OCI et signés avec Sigstore. C'est une brique fondatrice des chaînes logicielles vérifiables et alignées SLSA.
Comment se défendre contre in-toto ?
Les défenses contre in-toto combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de in-toto ?
Noms alternatifs courants : in-toto.
● Termes liés
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement.
- appsec№ 870
Attestation de provenance
Déclaration signée et vérifiable par machine décrivant comment un artefact logiciel a été produit - source, système de build, paramètres, dépendances - pour que les consommateurs aient confiance en son origine.
- appsec№ 1044
Sigstore
Projet open source de la Linux Foundation qui facilite la signature, la vérification et la protection des artefacts logiciels en combinant clés éphémères, identités OIDC et journal de transparence.
- appsec№ 226
Cosign
CLI open source du projet Sigstore pour signer, vérifier et attester des artefacts OCI et d'autres logiciels, en mode clé ou sans clé.
- appsec№ 1069
Sécurité de la chaîne d'approvisionnement logicielle
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations.