Was ist In-Toto und wie schützt es die Software-Lieferkette?
Software Angriffe auf die Lieferkette, wie sie in den letzten Jahren – 3CX, Codecov und Solarwinds – zu beobachten waren, haben die Fragilität traditioneller Entwicklungspipelines deutlich gemacht. Als Reaktion darauf entwickelte die Open-Source-Community im Ganzen, ein Framework, das die Integrität bei jedem Schritt der Softwarebereitstellung gewährleistet. In-toto erstellt eine überprüfbare Aufzeichnung des gesamten Softwareentwicklungslebenszyklus – von der ersten Programmierung bis zur endgültigen Bereitstellung – stellt sicher, dass jeder Schritt von autorisierten Stellen in der richtigen Reihenfolge ausgeführt wird. Durch das Anhängen kryptografischer Signaturen und Metadaten („Bestätigungen“) an jede Phase des Build-Prozesses macht es in-toto einem Angreifer nahezu unmöglich, unbemerkt schädliche Änderungen einzuschleusen. Dieser umfassende Ansatz verhindert Manipulationen, erkennt unbefugte Änderungen und weist die Herkunft nach aller Komponenten Ihrer Software, wodurch das Risiko kostspieliger Sicherheitsverletzungen erheblich reduziert wird.
Zu den wichtigsten Vorteilen von In-Toto gehören:
- End-to-End-Integrität: Jede Aktion in der CI/CD-Pipeline wird signiert und protokolliert, sodass Sie überprüfen können, ob einzige Jeder Schritt wird von vertrauenswürdigen Prozessen ausgeführt. Sollte etwas in der Kette verändert oder nicht in der richtigen Reihenfolge sein, erkennt in-toto dies.
- Manipulationssicherheit: Die Attestierungen von In-toto stellen sicher, dass Sie im Falle einer Manipulation eines Build-Artefakts oder einer Komponente über kryptografische Beweise für die Nichtübereinstimmung verfügen und so Angriffe auf die Lieferkette vereiteln, bevor sie die Benutzer erreichen.
- Compliance und Transparenz: Durch die Aufzeichnung, wer was (und wann) getan hat, stärkt In-toto die Einhaltung sich entwickelnder Cybersicherheitsstandards und -vorschriften. Es steht im Einklang mit Initiativen wie Software-Stücklisten (SBOMs) und Frameworks wie SLSA (Supply-Chain Levels for Software Artifacts), die mehr Transparenz in der Lieferkette fordern.
- Vertrauen und Zuverlässigkeit: Mit in-toto können Organisationen die Integrität beweisen Kunden und Prüfern ihre Software zugänglich zu machen. Jede Version enthält den Nachweis, dass sie sicher und vertrauenswürdig entwickelt wurde, was das Vertrauen in ihre Zuverlässigkeit stärkt.
In der Praxis bedeutet die vollständige Implementierung, Sicherheitsprüfungen in den gesamten Entwicklungsprozess zu integrieren. Beispielsweise generiert ein Build-Schritt eine signierte „Link“-Datei, die die Eingaben (Quellcode, Abhängigkeiten) und Ausgaben (Bilder, Container, Binärdateien) dieses Schritts bestätigt. Nachgelagerte Schritte überprüfen diese Links, bevor sie fortfahren. Wenn ein Angreifer versucht, Schadcode einzuschleusen oder eine nicht genehmigte Komponente zu verwenden, kann die fehlende oder ungültige Signatur zum Stoppen der Pipeline führen. Das Ergebnis ist ein Verwahrungskette für Software – ähnlich wie das Nachverfolgen der Zutaten in einem Rezept – stellt sicher, dass nichts Unbekanntes oder Unbefugtes in Ihr Endprodukt eingebacken wird.
In-toto: Vom akademischen Projekt zum hochmodernen Framework
Im April 23, 2025, in-toto hat einen wichtigen Meilenstein erreicht: Die Cloud Native Computing Foundation (CNCF) gab den Abschluss von „in toto“ bekannt bis zum höchsten Reifegrad als Open-Source-Projekt. Der CNCF-Graduierungsstatus ist Projekten vorbehalten, die ihre Stabilität, Akzeptanz und Community-Unterstützung bewiesen haben. In-totos Reise begann als Forschungsprojekt an der NYU Tandon School of Engineering und hat sich nun „hat sich zu einem Industriestandard entwickelt“ für die Sicherheit der Lieferkette. Laut Justin Cappos, dem NYU-Professor, der in-toto mitentwickelt hat, ist diese Leistung bestätigt den bahnbrechenden Ansatz von in-toto zur Softwaresicherheit und demonstriert seine praktische Wirkung bei der Bekämpfung moderner Bedrohungen.
Was macht in-toto heute zu einem hochmodernen, ausgereiften Framework? Erstens verfügt es über eine starke Unterstützung und breite AkzeptanzIn-toto wird bereits von Unternehmen wie SolarWinds produktiv eingesetzt und ist in Industriestandards wie OpenVEX und Googles SLSA-Framework integriert. Tatsächlich erreichte die Spezifikation von In-toto im Jahr 1.0 Version 2023, was den Konsens der Community über ihre Stabilität widerspiegelt. Das Framework profitiert zudem von der Unterstützung großer Forschungseinrichtungen (darunter NSF und DARPA), was kontinuierliche Innovationen gewährleistet.
Angesichts der zunehmenden Angriffe auf die Software-Lieferkette ist der Zeitpunkt für die Reife von in-toto ideal. „Angesichts der zunehmenden Bedrohungen in der Software-Lieferkette und ihrer zunehmenden Komplexität ermöglicht in-toto Unternehmen, ihre Entwicklungsabläufe zuverlässig zu überprüfen, Risiken zu reduzieren, Compliance zu gewährleisten und letztlich sichere Innovationen zu beschleunigen.“ sagte Chris Aniszczyk, CTO der CNCF. Der Abschluss von In-toto signalisiert, dass das Framework praxiserprobt und bereit für die Hauptsendezeit ist. Für CISOs und DevSecOps-Leiter bedeutet dies, dass es nun eine bewährte, von der Community geprüfte Lösung Zero-Trust-Prinzipien in der Entwicklungspipeline zu implementieren. Die nächste Frage ist: Wie implementieren Sie diese Prinzipien in Ihrer Organisation? effizient und reibungslos?
Reibungslose In-Toto-Implementierung mit ScribeHub und Valint
Obwohl In-toto die Blaupause für die Sicherheit der Lieferkette liefert, kann die Implementierung von Grund auf komplex sein. Unternehmen müssen ihre CI/CD-Pipelines instrumentieren, um in jedem Schritt kryptografische Nachweise zu generieren und zu verifizieren, kryptografische Schlüssel zu verwalten oder Sigstore zu verwenden, alle Metadaten zu speichern, Richtlinien zu definieren und Fehlergates zu integrieren – und das alles, ohne die Entwickler zu verlangsamen. Die beste Lösung, um dies nahtlos zu erreichen besteht darin, eine Plattform zu verwenden, die für diese Aufgabe gebaut wurde. Die „ScribeHub“-Plattform von Scribe Security bietet zusammen mit dem Valint-Tool eine reibungslose Möglichkeit, In-Toto-Prinzipien in Ihren SDLC einzubetten.
ScribeHub ist eine umfassende Sicherheitsplattform für die Software-Lieferkette, die Integritäts- und Compliance-Prüfungen in der gesamten Softwarefabrik automatisiert – von der Entwicklung bis zur Bereitstellung. Sie verfolgt einen Secure-by-Design- und Zero-Trust-Ansatz: Automatisierung maschinenlesbarer Bescheinigungen und bewerben „Leitplanken-als-Code“-Tore entlang der gesamten Pipeline. Im Wesentlichen integriert sich ScribeHub in Ihre Entwicklungstools und Ihre Cloud-Umgebung, um kontinuierlich Beweise dafür aufzuzeichnen, was in jedem Build passiert, und um Durchsetzung von Sicherheitsrichtlinien ohne manuelles Eingreifen. Wichtig ist, dass Scribes Ansatz darauf ausgelegt ist, Reibungsverluste mit Entwicklungsteams minimieren. Durch die Integration von Sicherheit in die Pipeline (anstatt externe Überprüfungen oder zusätzliche Schritte für Entwickler hinzuzufügen) stellt ScribeHub sicher, Sicherheit ist kontinuierlich und transparentEntwickler können ihr schnelles, agiles Tempo beibehalten, während Scribe im Hintergrund arbeitet, um Anomalien zu erkennen und sicherzustellen, dass jede Version vertrauenswürdig ist.
Im Mittelpunkt steht dabei Valint – Validation Integrity-Tool von Scribe Security. Valint ist eine leistungsstarke CLI- und Richtlinien-Engine, die Unternehmen die Möglichkeit bietet, Sicherheitsrichtlinien durchzusetzen „mithilfe des einfachen Konzepts des Signierens und Verifizierens von Daten.“ In der Tat Valint steht für Validierung + Integrität, und es generiert und prüft die kryptografischen Beweise, die zum Nachweis der Integrität Ihrer Software erforderlich sind. Es kann Atteste (digitale Beweise) für alle Arten von Softwareartefakten erstellen und verifizieren: Quellcodeverzeichnisse, einzelne Dateien, Container-Images und sogar ganze Git-Repositories. Sie können Valint als eigenständige CLI in Ihrer CI-Pipeline ausführen oder als Teil des integrierten ScribeHub-Dienstes nutzen. So oder so setzt es die Kernidee von „in-toto“ – signierten, verifizierbaren Lieferkettenmetadaten – in einer praktischen Form in die Praxis um.
Unter der Haube Valint nutzt die beste moderne Supply-Chain-SicherheitstechnologieDie neueste Version von Valint basiert auf Frameworks wie SLSA für die Herkunft, OPA zur Richtliniendurchsetzung, Sigstore für schlüsselloses Signierenund verwendet OCI-Registries zur Speicherung von Attestierungen. Anders ausgedrückt: Scribe hat ein Arsenal an offenen Standards zusammengestellt, um sicherzustellen, dass die Attestierungen und Prüfungen in Ihrer Pipeline robust und interoperabel sind. Beispielsweise kann die Scribe-Plattform automatisch kontinuierliche Code-Signierung und Herkunftsverfolgung durch vollständige Bescheinigungen – all das hilft Manipulationsangriffe vereiteln bevor sie Ihre Software beeinträchtigen.
Wie funktioniert das in einer echten CI/CD-Pipeline? ScribeHub integriert sich direkt in Ihr Build-System (egal ob Jenkins, GitHub Actions, GitLab usw.), um Erfassen Sie in jeder Phase unterzeichnete, maschinenüberprüfbare Bescheinigungen der Entwicklung. Sobald ein Entwickler Code committet, kann das Valint-Tool von Scribe eine signierte Anweisung dieses Commits aufzeichnen. Während der Code die Build-, Test- und Bereitstellungsphasen durchläuft, generiert jeder Schritt eine eigene Bestätigung (z. B. „Build mit diesen Eingaben abgeschlossen, erstellt dieses Artefakt zu diesem Zeitpunkt durch diesen Prozess, signiert mit Schlüssel X“). Diese Attestierungen werden manipulationssicher gespeichert (z. B. in einem OCI-Artefaktregister oder im Scribe-Evidenzspeicher) und können später überprüft werden. Noch wichtiger ist, dass sie sofort validiert gegen Ihre Sicherheitsrichtlinien. ScribeHub ermöglicht es Sicherheitsteams, Richtlinien (als Code) zu definieren, die die erwarteten Bedingungen der Pipeline beschreiben – zum Beispiel: „Alle Artefakte müssen von unserem Build-Service signiert werden“, or „Es darf kein Container bereitgestellt werden, der kritische Schwachstellen enthält, von denen öffentlich bekannt ist, dass sie ausgenutzt werden können (KEV).“ Diese Richtlinien werden durchgesetzt in Echtzeit. Bei der Generierung jeder Attestierung oder SBOM Valint überprüft es, und die Policy Engine von ScribeHub (powered by OPA) prüft für die Einhaltung.
Wenn alles gut aussieht, läuft die Pipeline ohne Unterbrechung weiter. Wenn ein Verstoß festgestellt wird, kann ScribeHub „Gate“ die Veröffentlichung, indem Sie die Pipeline anhalten oder das Problem kennzeichnen zur Überprüfung. Wenn beispielsweise eine erwartete Signatur oder ein Build-Attest fehlt oder die Hash-Funktion eines Artefakts nicht mit der erwarteten übereinstimmt, erkennt Scribe dies. bevor dieser Build beworben wirdDiese automatisierten Leitplanken fungieren als Qualitätstore: Eine fehlende oder falsche Bescheinigung wird als fehlgeschlagene Prüfung behandelt, sodass der riskante Build schafft es nie in die Produktion. In der Praxis kann dies einen fehlgeschlagenen Build-Job mit einer eindeutigen Fehlermeldung oder ein automatisch erstelltes JIRA-Ticket für das Sicherheitsteam bedeuten, je nachdem, wie Sie die Antwort konfigurieren. Dieser Ansatz stellt sicher, dass Die Richtlinien für die Software-Lieferkette werden automatisch durch Code durchgesetzt, nicht durch nachträgliche manuelle Überprüfungen. Wie der CEO von Scribe es ausdrückt: „Man kann sich nicht darauf verlassen, dass sich die Leute an die Richtlinien erinnern, wenn sie 10 Builds pro Tag ausliefern … Die Regeln müssen in den Prozess integriert und von der Pipeline durchgesetzt werden.“.
Durch die Integration der Attestierungen und automatisierten Richtlinienprüfungen von in-toto bietet ScribeHub im Wesentlichen eine Immunsystem für Ihren SDLC. Es überprüft die Integrität und Herkunft jeder Komponente und Gates alle Verstöße, die zu einer Kompromittierung der Software-Lieferkette führen könnten. Wenn beispielsweise Malware in eine Abhängigkeit gelangt oder die Anmeldeinformationen eines Entwicklers missbraucht werden, um einen schädlichen Build zu signieren, lösen die ungewöhnlichen Beweise (oder das Fehlen der erwarteten Beweise) die Kontrollen von Scribe aus, stoppen die Veröffentlichung und alarmieren Ihr Team. Dies gibt CISOs, Produktsicherheitsverantwortlichen und DevSecOps-Experten die Gewissheit, dass Es wird nur geprüfter, sicherer Code eingesetzt, ohne jede Änderung persönlich prüfen zu müssen. Und dank der Automatisierung und Integration geschieht dies mit minimaler Beeinträchtigung Ihrer Entwicklungsgeschwindigkeit – Sicherheit ist eingebettet, aber nicht hinderlich.
Sind Sie bereit, echte Produktsicherheit in Aktion zu sehen?
Der Abschluss von In-toto und die Einführung von Tools wie ScribeHub signalisieren, dass echte Produktsicherheit – die durchgängige Integrität der Lieferkette gewährleisten – ist kein fernes Ideal mehr, sondern heute ein erreichbares Ziel. Zukunftsorientierte CISOs, Produktsicherheitsverantwortliche und DevSecOps-Experten nutzen diese Lösungen bereits, um ihre Unternehmen zu schützen und neue Vorschriften einzuhalten. Wenn Sie Ihre Softwarefabrik stärken möchten, ohne die Entwickler zu belasten, Wir laden Sie ein, sich für eine Demo an Scribe Security zu wendenÜberzeugen Sie sich selbst, wie die Prinzipien von in-toto, implementiert durch ScribeHub und Valint, Ihren SDLC in einen manipulationssicheren, transparenten und konformen Prozess verwandeln können. Kontaktieren Sie uns für eine Live-Demo und machen Sie den nächsten Schritt hin zu einer wirklich sicheren und vertrauenswürdigen Software-Lieferkette. Ihre Entwickler können mit Hochdruck an Innovationen arbeiten – und Sie können beruhigt schlafen, da jeder Build durch modernste Lieferkettensicherheit geschützt ist. Wir würden uns freuen, zeigen Ihnen, wie es funktioniert!
Diese Inhalte werden Ihnen von Scribe Security zur Verfügung gestellt, einem führenden Anbieter von End-to-End-Sicherheitslösungen für die Software-Lieferkette, der modernste Sicherheit für Code-Artefakte sowie Code-Entwicklungs- und Bereitstellungsprozesse in der gesamten Software-Lieferkette bietet. Weitere Informationen.
Ähnliche Artikel
