in-toto
Что такое in-toto?
in-totoОткрытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта.
in-toto, размещённый в CNCF, моделирует цепочку поставок как последовательность шагов (клонирование, тестирование, сборка, подпись, публикация и т. д.) с декларированными входами, выходами и уполномоченными исполнителями. Каждый шаг создаёт подписанный link-метафайл, фиксирующий материалы и продукты; общий layout, подписанный владельцем проекта, задаёт, кто выполняет каждый шаг и как артефакты перемещаются между ними. Верификатор берёт финальный артефакт и соответствующие аттестации и проверяет, что цепочка соответствует политике. Аттестации in-toto используют для представления SLSA-проvenance, результатов сканирования уязвимостей, доказательств прохождения тестов и других подписанных предикатов; их часто распространяют через OCI-реестры и подписывают Sigstore. Это базовая технология для верифицируемых цепочек поставок, согласованных с SLSA.
● Примеры
- 01
Конвейер сборки, формирующий SLSA-проvenance в виде аттестации in-toto, подписанной Cosign.
- 02
Верификатор, проверяющий перед деплоем, что контейнерные образы содержат аттестации in-toto от сканирования уязвимостей.
● Частые вопросы
Что такое in-toto?
Открытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта. Относится к категории Безопасность приложений в кибербезопасности.
Что означает in-toto?
Открытый фреймворк, криптографически аттестующий каждый шаг цепочки поставок ПО, чтобы потребители могли проверить, что артефакт был собран и обработан в точности так, как задумал владелец проекта.
Как защититься от in-toto?
Защита от in-toto обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия in-toto?
Распространённые альтернативные названия: in-toto.