in-toto.

ソフトウェアサプライチェーンの各ステップを暗号学的に証明し、利用者がプロジェクト所有者の意図どおりに成果物が構築・処理されたことを検証できるようにするオープンフレームワーク。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

ソフトウェアサプライチェーンの各ステップを暗号学的に証明し、利用者がプロジェクト所有者の意図どおりに成果物が構築・処理されたことを検証できるようにするオープンフレームワーク。

in-toto は CNCF にホストされるプロジェクトで、ソフトウェアのサプライチェーンを「クローン、テスト、ビルド、署名、公開…」といったステップの系列としてモデル化し、各ステップの入力・出力・認可された実行者を宣言します。各ステップでは、マテリアル(入力)とプロダクト(出力)を記録した署名付きの link メタデータが生成されます。プロジェクト所有者が署名した全体の layout が、各ステップを誰が実行すべきか、成果物がどう流れるべきかを規定します。検証者は最終成果物と対応するアテステーションを基に、チェーン全体がポリシーに合致しているかを確認します。in-toto アテステーションは SLSA プロベナンス、脆弱性スキャン結果、テスト合格の証跡などを表現するために用いられ、多くは OCI レジストリ経由で配布され、Sigstore で署名されます。SLSA に整合した検証可能なサプライチェーンの基盤技術です。

in-toto に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: in-toto。