in-toto
O que é in-toto?
in-totoFramework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia.
O in-toto, alojado pela CNCF, modela a cadeia de fornecimento como uma sequência de passos (clone, teste, build, assinatura, publicação...) com entradas, saídas e atores autorizados declarados. Cada passo produz um ficheiro de metadados assinado (link) que regista materiais e produtos; um layout global assinado pelo dono do projeto define quem deve executar cada passo e como os artefactos fluem entre eles. Um verificador toma o artefacto final e as atestações correspondentes e confirma que a cadeia respeita a política. As atestações in-toto exprimem proveniência SLSA, resultados de análise de vulnerabilidades, evidência de testes e outros predicados assinados, normalmente distribuídos via registos OCI e assinados com o Sigstore. É uma tecnologia fundacional para cadeias de fornecimento verificáveis e alinhadas com SLSA.
● Exemplos
- 01
Pipeline de build que produz proveniência SLSA como atestação in-toto assinada com Cosign.
- 02
Verificador que confirma se as imagens de contentor incluem atestações in-toto de análise de vulnerabilidades antes do deploy.
● Perguntas frequentes
O que é in-toto?
Framework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa in-toto?
Framework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia.
Como funciona in-toto?
O in-toto, alojado pela CNCF, modela a cadeia de fornecimento como uma sequência de passos (clone, teste, build, assinatura, publicação...) com entradas, saídas e atores autorizados declarados. Cada passo produz um ficheiro de metadados assinado (link) que regista materiais e produtos; um layout global assinado pelo dono do projeto define quem deve executar cada passo e como os artefactos fluem entre eles. Um verificador toma o artefacto final e as atestações correspondentes e confirma que a cadeia respeita a política. As atestações in-toto exprimem proveniência SLSA, resultados de análise de vulnerabilidades, evidência de testes e outros predicados assinados, normalmente distribuídos via registos OCI e assinados com o Sigstore. É uma tecnologia fundacional para cadeias de fornecimento verificáveis e alinhadas com SLSA.
Como se defender contra in-toto?
As defesas contra in-toto costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para in-toto?
Nomes alternativos comuns: in-toto.
● Termos relacionados
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado pelo OpenSSF que endurece progressivamente a forma como o software é construído, assinado e verificado contra manipulação da cadeia de fornecimento.
- appsec№ 870
Atestação de proveniência
Declaração assinada e verificável por máquina que descreve como um artefacto de software foi produzido - fonte, sistema de build, parâmetros e dependências - para os consumidores confiarem na sua origem.
- appsec№ 1044
Sigstore
Projeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
- appsec№ 226
Cosign
CLI open source do projeto Sigstore para assinar, verificar e atestar artefactos OCI e outros softwares, em modo com ou sem chaves de longa duração.
- appsec№ 1069
Segurança da cadeia de fornecimento de software
Disciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventário formal e legível por máquina dos componentes, bibliotecas e dependências que compõem um software, com versões e respetivas relações.