in-toto
O que é in-toto?
in-totoFramework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia.
O in-toto, alojado pela CNCF, modela a cadeia de fornecimento como uma sequência de passos (clone, teste, build, assinatura, publicação...) com entradas, saídas e atores autorizados declarados. Cada passo produz um ficheiro de metadados assinado (link) que regista materiais e produtos; um layout global assinado pelo dono do projeto define quem deve executar cada passo e como os artefactos fluem entre eles. Um verificador toma o artefacto final e as atestações correspondentes e confirma que a cadeia respeita a política. As atestações in-toto exprimem proveniência SLSA, resultados de análise de vulnerabilidades, evidência de testes e outros predicados assinados, normalmente distribuídos via registos OCI e assinados com o Sigstore. É uma tecnologia fundacional para cadeias de fornecimento verificáveis e alinhadas com SLSA.
● Exemplos
- 01
Pipeline de build que produz proveniência SLSA como atestação in-toto assinada com Cosign.
- 02
Verificador que confirma se as imagens de contentor incluem atestações in-toto de análise de vulnerabilidades antes do deploy.
● Perguntas frequentes
O que é in-toto?
Framework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa in-toto?
Framework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia.
Como se defender contra in-toto?
As defesas contra in-toto costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para in-toto?
Nomes alternativos comuns: in-toto.