Qu'est-ce que l'in-toto et comment protège-t-il la chaîne d'approvisionnement des logiciels ?
Software attaques de la chaîne d'approvisionnement, comme celles observées ces dernières années – 3CX, Codecov et Solarwinds – ont mis en évidence la fragilité des pipelines de développement traditionnels. En réponse, la communauté open source a développé dans son intégralité, un cadre pour garantir l'intégrité à chaque étape de la livraison de logiciels. In-toto crée un enregistrement vérifiable de l'ensemble du cycle de vie du développement logiciel – du codage initial au déploiement final – garantissant que chaque étape est exécutée par les entités autorisées dans le bon ordre. En associant des signatures cryptographiques et des métadonnées (« attestations ») à chaque phase du processus de développement, in-toto rend quasiment impossible l'introduction de modifications malveillantes par un attaquant. Cette approche globale empêche les falsifications, détecte les modifications non autorisées et prouve la provenance de chaque composant de votre logiciel, réduisant ainsi considérablement le risque de violations coûteuses.
Les principaux avantages de l’in-toto comprennent :
- Intégrité de bout en bout : Chaque action dans le pipeline CI/CD est signée et enregistrée, vous pouvez donc vérifier que uniquement Des processus fiables ont été exécutés à chaque étape. Si un élément de la chaîne est altéré ou désordonné, In-Toto le détectera.
- Résistance aux altérations : Les attestations d'In-toto garantissent que si un artefact ou un composant de build a été falsifié, vous disposez d'une preuve cryptographique de l'incompatibilité, contrecarrant les attaques de la chaîne d'approvisionnement avant qu'elles n'atteignent les utilisateurs.
- Conformité et transparence : En enregistrant qui a fait quoi (et quand), in-toto renforce la conformité aux normes et réglementations de cybersécurité en constante évolution. Il s'aligne sur des initiatives telles que les nomenclatures logicielles (SBOM) et des cadres comme SLSA (niveaux de chaîne d'approvisionnement pour les artefacts logiciels) qui exigent une plus grande transparence de la chaîne d'approvisionnement.
- Confiance et fiabilité : Avec in-toto, les organisations peuvent prouver l'intégrité de leurs logiciels aux clients et aux auditeurs. Chaque version est accompagnée de la preuve qu'elle a été développée de manière sécurisée et fiable, renforçant ainsi la confiance dans sa fiabilité.
En pratique, adopter l'in-toto signifie intégrer des contrôles de sécurité tout au long du processus de développement. Par exemple, une étape de build génère un fichier « lien » signé attestant des entrées (code source, dépendances) et des sorties (images, conteneurs, binaires) de cette étape. Les étapes en aval vérifient ces liens avant de poursuivre. Ainsi, si un attaquant tente d'injecter du code malveillant ou d'utiliser un composant non approuvé, la signature manquante ou invalide peut entraîner l'arrêt du pipeline. Le résultat est un chaîne de traçabilité des logiciels – un peu comme le suivi des ingrédients dans une recette – qui garantit que rien d’inconnu ou d’autorisé n’est intégré dans votre produit final.
In-toto : du projet académique au cadre de pointe
Le mois d'avril 23, 2025, in-toto a franchi une étape importante : le La Cloud Native Computing Foundation (CNCF) a annoncé la remise des diplômes d'in-toto Le projet a atteint son plus haut niveau de maturité en tant que projet open source. Le statut de diplômé de la CNCF est réservé aux projets ayant démontré leur stabilité, leur adoption et le soutien de leur communauté. L'aventure d'In-toto a débuté comme un projet de recherche à la Tandon School of Engineering de l'Université de New York, et il est désormais disponible. « est devenu une norme industrielle » pour la sécurité de la chaîne d'approvisionnement. Selon Justin Cappos, professeur à l'Université de New York qui a contribué à la création d'in-toto, cette réussite valide l'approche pionnière d'in-toto à la sécurité des logiciels et démontre son impact réel dans la lutte contre les menaces modernes.
Alors, qu'est-ce qui fait d'in-toto un framework de pointe et mature aujourd'hui ? Premièrement, il bénéficie d'un soutien solide et adoption à grande échelleIn-toto est déjà utilisé en production par des entreprises comme SolarWinds et est intégré à des normes industrielles telles qu'OpenVEX et le framework SLSA de Google. La spécification d'in-toto a d'ailleurs atteint la version 1.0 en 2023, reflétant le consensus de la communauté quant à sa stabilité. Le framework a également bénéficié du soutien d'organismes de recherche majeurs (dont la NSF et la DARPA), garantissant ainsi une innovation continue.
Avec l'augmentation des attaques contre la chaîne d'approvisionnement logicielle, le moment de maturité d'in-toto est idéal. « Alors que les menaces pesant sur la chaîne d'approvisionnement logicielle gagnent en ampleur et en complexité, in-toto permet aux organisations de vérifier en toute confiance leurs flux de développement, réduisant ainsi les risques, favorisant la conformité et, en fin de compte, accélérant l'innovation sécurisée. » a déclaré Chris Aniszczyk, directeur technique de la CNCF. La validation d'In-toto indique que le framework est éprouvé et prêt à être utilisé. Pour les RSSI et les responsables DevSecOps, cela signifie qu'il existe désormais un solution éprouvée et approuvée par la communauté Mettre en œuvre les principes de confiance zéro dans le processus de développement. La question suivante est : comment adopter l'intégration intégrale dans votre organisation ? efficacement et sans friction?
Mise en œuvre In-Toto sans friction avec ScribeHub et Valint
Bien que l'intégration complète fournisse le cadre de la sécurité de la chaîne d'approvisionnement, sa mise en œuvre complète peut s'avérer complexe. Les organisations doivent instrumenter leurs pipelines CI/CD pour générer et vérifier les attestations cryptographiques à chaque étape, gérer les clés cryptographiques ou utiliser Sigstore, stocker toutes les métadonnées, définir des règles de politique et intégrer des portes de défaillance, le tout sans ralentir les développeurs. la meilleure solution pour y parvenir de manière transparente consiste à utiliser une plateforme conçue pour le travail. La plateforme « ScribeHub » de Scribe Security, associée à son outil Valint, offre un moyen simple d'intégrer des principes in-toto dans votre SDLC..
ScribeHub est une plateforme complète de sécurité de la chaîne d'approvisionnement logicielle qui automatise les contrôles d'intégrité et de conformité à l'échelle de l'usine logicielle, du développement au déploiement. Elle utilise une approche « zero trust » (sécurisée dès la conception) : automatisation des attestations lisibles par machine et postuler portes « garde-corps en tant que code » tout au long du pipeline. En résumé, ScribeHub s'intègre à vos outils de développement et à votre environnement cloud pour enregistrer en continu les traces de chaque build et appliquer les politiques de sécurité sans intervention manuelleIl est important de noter que l’approche de Scribe est conçue pour minimiser les frictions avec les équipes de développementEn intégrant la sécurité dans le pipeline (plutôt que d'ajouter des révisions hors bande ou des étapes supplémentaires pour les développeurs), ScribeHub garantit la sécurité est continue et transparenteLes développeurs peuvent maintenir leur rythme agile et rapide, tandis que Scribe travaille en coulisses pour détecter les anomalies et garantir que chaque version est digne de confiance.
Au cœur de tout cela se trouve Valent – Outil de validation de l'intégrité de Scribe Security. Valint est un puissant moteur de CLI et de politiques qui fournit aux organisations un moyen d'appliquer des politiques de sécurité « en utilisant le concept simple de signature et de vérification des données. » Ainsi, Valent qui veut dire Validation + Intégrité, et génère et vérifie les preuves cryptographiques nécessaires à l'intégrité de votre logiciel. Il peut produire et vérifier des attestations (preuves numériques) pour tous types d'artefacts logiciels : répertoires de code source, fichiers individuels, images de conteneurs, et même des dépôts Git entiers. Vous pouvez exécuter Valint comme une interface de ligne de commande autonome dans votre pipeline d'intégration continue ou l'utiliser dans le cadre du service intégré ScribeHub. Dans tous les cas, il met en pratique le principe fondamental de l'in-toto – des métadonnées de chaîne d'approvisionnement signées et vérifiables – sous une forme pratique.
Sous la capuche, Valint exploite le meilleur de la technologie moderne de sécurité de la chaîne d'approvisionnementLa dernière version de Valint s'appuie sur des frameworks tels que SLSA pour la provenance, OPA pour l'application des politiques, Sigstore pour la signature sans clé, et utilise les registres OCI pour stocker les attestations. Autrement dit, Scribe a rassemblé un arsenal de normes ouvertes pour garantir la robustesse et l'interopérabilité des attestations et des vérifications de votre pipeline. Par exemple, la plateforme Scribe peut exécuter automatiquement signature continue du code et suivi de la provenance à l'aide d'attestations in-toto – tout cela aide contrecarrer les attaques de falsification avant qu'ils n'impactent votre logiciel.
Comment cela fonctionne-t-il dans un véritable pipeline CI/CD ? ScribeHub s'intègre directement à votre système de build (que ce soit Jenkins, GitHub Actions, GitLab, etc.) pour capturer des attestations signées et vérifiables par machine à chaque étape du développement. Dès qu'un développeur valide du code, l'outil Valint de Scribe peut enregistrer une déclaration signée de ce commit. À mesure que le code progresse dans les étapes de build, de test et de déploiement, chaque étape génère sa propre attestation (par exemple, « Construction terminée avec ces entrées, produisant cet artefact, à ce moment, par ce processus, signé par la clé X »). Ces attestations sont stockées de manière inviolable (par exemple, dans un registre d'artefacts OCI ou dans la base de données de preuves Scribe) pour un audit ultérieur. Plus important encore, elles sont immédiatement validé par rapport à vos politiques de sécurité. ScribeHub permet aux équipes de sécurité de définir des politiques (sous forme de code) décrivant les conditions attendues du pipeline, par exemple : « Tous les artefacts doivent être signés par notre service de construction », or « Aucun conteneur ne peut être déployé s'il contient des vulnérabilités critiques dont l'exploitation est publiquement connue (KEV). » Ces politiques sont appliquées en temps réel. À mesure que chaque attestation ou SBOM est générée, Valint le vérifie et le moteur de politique de ScribeHub (propulsé par OPA) vérifie Pour la conformité.
Si tout semble correct, le pipeline se poursuit sans interruption. En cas de violation, ScribeHub peut « bloquer » la publication en arrêtant le pipeline ou en signalant le problème Pour vérification. Par exemple, si une signature ou une attestation de build attendue est manquante, ou si la fonction de hachage d'un artefact ne correspond pas à ce qu'elle devrait être, Scribe le détectera. avant que cette version ne soit promueCes garde-fous automatisés agissent comme des portes de qualité : une attestation manquante ou incorrecte est traitée comme un contrôle échoué, de sorte que la construction risquée n'arrive jamais à la productionEn pratique, cela peut se traduire par un échec de build avec un message d'erreur clair, ou par la création automatique d'un ticket JIRA pour l'équipe de sécurité, selon la configuration de la réponse. Cette approche garantit que la politique de la chaîne d'approvisionnement en logiciels est automatiquement appliquée par le code, et non par des révisions manuelles a posteriori. Comme le dit le PDG de Scribe, « On ne peut pas compter sur les gens pour se souvenir des politiques lorsqu'ils publient dix versions par jour… Les règles doivent être intégrées au processus et appliquées par le pipeline. ».
En intégrant les attestations in-toto et les contrôles de politique automatisés, ScribeHub fournit essentiellement un système immunitaire pour votre SDLCIl vérifie l'intégrité et la provenance de chaque composant, et il Gates signale toute violation susceptible d'entraîner une compromission de la chaîne d'approvisionnement en logicielsPar exemple, si un logiciel malveillant s'introduisait dans une dépendance ou si les identifiants d'un développeur étaient détournés pour signer une version malveillante, la preuve anormale (ou l'absence de preuve attendue) déclencherait les contrôles de Scribe, interrompant la publication et alertant votre équipe. Cela rassure les RSSI, les responsables de la sécurité produit et les praticiens DevSecOps. seul un code vérifié et sécurisé est déployé, sans avoir à inspecter personnellement chaque modification. Grâce à l'automatisation et à l'intégration, tout cela se fait avec un ralentissement minimal de votre développement. la sécurité est intégrée mais pas obstructive.
Prêt à voir la sécurité des produits réels en action ?
L'obtention du diplôme d'In-toto et l'émergence d'outils comme ScribeHub signalent que sécurité réelle des produits – celle qui garantit l'intégrité de la chaîne d'approvisionnement de bout en bout – n'est plus un idéal lointain, mais un objectif atteignable aujourd'hui. Les RSSI, les responsables de la sécurité des produits et les praticiens DevSecOps avant-gardistes utilisent déjà ces solutions pour protéger leurs organisations et se conformer aux nouvelles réglementations. Si vous souhaitez renforcer votre usine logicielle sans aggraver les tensions entre développeurs, nous vous invitons à contacter Scribe Security pour une démonstration. Voyez par vous-même comment les principes d'in-toto, mis en œuvre via ScribeHub et Valint, peuvent transformer votre SDLC en un processus inviolable, transparent et conforme. Contactez-nous pour découvrir une démo en direct et franchissez une nouvelle étape vers une chaîne d'approvisionnement logicielle véritablement sécurisée et fiable. Vos développeurs peuvent continuer à innover à plein régime, et vous dormirez sur vos deux oreilles, sachant que chaque build est protégé par une sécurité de pointe. Nous serions ravis de vous montrer comment cela fonctionne!
Ce contenu vous est proposé par Scribe Security, l'un des principaux fournisseurs de solutions de sécurité de bout en bout pour la chaîne d'approvisionnement logicielle, offrant une sécurité de pointe aux artefacts de code ainsi qu'aux processus de développement et de livraison de code tout au long des chaînes d'approvisionnement logicielles. En savoir plus.
articles similaires
