in-toto
Что такое in-toto?
in-totoОткрытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта.
in-toto, размещённый в CNCF, моделирует цепочку поставок как последовательность шагов (клонирование, тестирование, сборка, подпись, публикация и т. д.) с декларированными входами, выходами и уполномоченными исполнителями. Каждый шаг создаёт подписанный link-метафайл, фиксирующий материалы и продукты; общий layout, подписанный владельцем проекта, задаёт, кто выполняет каждый шаг и как артефакты перемещаются между ними. Верификатор берёт финальный артефакт и соответствующие аттестации и проверяет, что цепочка соответствует политике. Аттестации in-toto используют для представления SLSA-проvenance, результатов сканирования уязвимостей, доказательств прохождения тестов и других подписанных предикатов; их часто распространяют через OCI-реестры и подписывают Sigstore. Это базовая технология для верифицируемых цепочек поставок, согласованных с SLSA.
● Примеры
- 01
Конвейер сборки, формирующий SLSA-проvenance в виде аттестации in-toto, подписанной Cosign.
- 02
Верификатор, проверяющий перед деплоем, что контейнерные образы содержат аттестации in-toto от сканирования уязвимостей.
● Частые вопросы
Что такое in-toto?
Открытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта. Относится к категории Безопасность приложений в кибербезопасности.
Что означает in-toto?
Открытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта.
Как работает in-toto?
in-toto, размещённый в CNCF, моделирует цепочку поставок как последовательность шагов (клонирование, тестирование, сборка, подпись, публикация и т. д.) с декларированными входами, выходами и уполномоченными исполнителями. Каждый шаг создаёт подписанный link-метафайл, фиксирующий материалы и продукты; общий layout, подписанный владельцем проекта, задаёт, кто выполняет каждый шаг и как артефакты перемещаются между ними. Верификатор берёт финальный артефакт и соответствующие аттестации и проверяет, что цепочка соответствует политике. Аттестации in-toto используют для представления SLSA-проvenance, результатов сканирования уязвимостей, доказательств прохождения тестов и других подписанных предикатов; их часто распространяют через OCI-реестры и подписывают Sigstore. Это базовая технология для верифицируемых цепочек поставок, согласованных с SLSA.
Как защититься от in-toto?
Защита от in-toto обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия in-toto?
Распространённые альтернативные названия: in-toto.
● Связанные термины
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts — выпущенный OpenSSF набор требований по уровням, который последовательно ужесточает практики сборки, подписи и верификации ПО для защиты от вмешательства в цепочку поставок.
- appsec№ 870
Аттестация происхождения (Provenance Attestation)
Подписанное и машиночитаемое заявление о том, как был произведён программный артефакт — источник, сборочная система, параметры и зависимости — чтобы потребители могли доверять его происхождению.
- appsec№ 1044
Sigstore
Open-source-проект Linux Foundation, упрощающий подпись, верификацию и защиту артефактов ПО за счёт сочетания короткоживущих ключей, OIDC-идентичностей и журнала прозрачности.
- appsec№ 226
Cosign
Open-source CLI из проекта Sigstore для подписи, верификации и аттестации OCI-артефактов и другого ПО, поддерживающий рабочие процессы как с ключами, так и без них.
- appsec№ 1069
Безопасность цепочки поставок ПО
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
- appsec№ 1068
Software Bill of Materials (SBOM)
Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.