Che cosa è in-toto e come protegge la catena di fornitura del software?
Software attacchi alla catena di approvvigionamento, come quelli visti negli ultimi anni – 3CX, Codecov e Solarwinds – hanno evidenziato la fragilità delle pipeline di sviluppo tradizionali. In risposta, la comunità open source ha sviluppato in toto, un framework per garantire l'integrità in ogni fase della distribuzione del software. In-toto crea un registrazione verificabile dell'intero ciclo di vita dello sviluppo del software – dalla codifica iniziale all'implementazione finale – garantendo che ogni passaggio venga eseguito da entità autorizzate nell'ordine corretto. Allegando firme crittografiche e metadati ("attestazioni") a ogni fase del processo di build, in-toto rende praticamente impossibile per un aggressore introdurre modifiche dannose senza essere notato. Questo approccio completo impedisce la manomissione, rileva modifiche non autorizzate e dimostra la provenienza di ogni componente del tuo software, riducendo notevolmente il rischio di costose violazioni.
I principali vantaggi di in-toto includono:
- Integrità end-to-end: Ogni azione nella pipeline CI/CD viene firmata e registrata, quindi è possibile verificarla esclusivamente Ogni passaggio è stato eseguito da processi affidabili. Se qualcosa nella catena è alterato o non è in ordine, in-toto lo rileverà.
- Resistenza alla manomissione: Le attestazioni di In-toto garantiscono che, qualora un artefatto o un componente di build venisse manomesso, si disponga di una prova crittografica della mancata corrispondenza, contrastando gli attacchi alla supply chain prima che raggiungano gli utenti.
- Conformità e trasparenza: Registrando chi ha fatto cosa (e quando), in-toto rafforza la conformità agli standard e alle normative in materia di sicurezza informatica in continua evoluzione. Si allinea a iniziative come le distinte base del software (SBOM) e framework come SLSA (Supply-chain Levels for Software Artifacts), che richiedono una maggiore trasparenza della supply chain.
- Fiducia e Affidabilità: Con in-toto, le organizzazioni possono dimostrare l'integrità del loro software a clienti e revisori. Ogni versione è corredata dalla prova che è stata sviluppata in modo sicuro e affidabile, aumentando la fiducia nella sua affidabilità.
In pratica, adottare in-toto significa inserire controlli di sicurezza lungo tutto il processo di sviluppo. Ad esempio, una fase di build genererebbe un file "link" firmato che attesta gli input (codice sorgente, dipendenze) e gli output (immagini, container, binari) di quella fase. Le fasi a valle verificano tali link prima di procedere. In questo modo, se un aggressore tenta di iniettare codice dannoso o di utilizzare un componente non approvato, la firma mancante o non valida può causare l'arresto della pipeline. Il risultato è un catena di custodia per il software – proprio come tenere traccia degli ingredienti in una ricetta – che garantisce che nulla di sconosciuto o non autorizzato venga inserito nel prodotto finale.
In-toto: dal progetto accademico al framework all'avanguardia
Ad aprile 23, 2025, in-toto ha raggiunto un traguardo importante: , il La Cloud Native Computing Foundation (CNCF) ha annunciato la laurea di in-toto al massimo livello di maturità come progetto open source. Lo status di CNCF Graduation è riservato ai progetti che hanno dimostrato stabilità, adozione e supporto da parte della comunità. Il percorso di In-toto è iniziato come progetto di ricerca presso la NYU Tandon School of Engineering e ora è... “evoluto in uno standard industriale” per la sicurezza della catena di approvvigionamento. Secondo Justin Cappos, il professore della New York University che ha contribuito a creare in-toto, questo risultato convalida l'approccio pionieristico di in-toto alla sicurezza del software e dimostra il suo impatto concreto nella lotta alle minacce moderne.
Quindi cosa rende in-toto un framework all'avanguardia e maturo oggi? Innanzitutto, ha un forte supporto e ampia adozioneIn-toto è già utilizzato in produzione da aziende come SolarWinds ed è integrato in standard di settore come OpenVEX e il framework SLSA di Google. Infatti, la specifica di in-toto ha raggiunto la versione 1.0 nel 2023, riflettendo il consenso della comunità sulla sua stabilità. Il framework ha inoltre beneficiato del supporto di importanti agenzie di ricerca (tra cui NSF e DARPA), garantendo un'innovazione continua.
Con l'aumento degli attacchi alla supply chain del software, il momento ideale per la maturità di in-toto. “Mentre le minacce alla catena di fornitura del software crescono in scala e complessità, in-toto consente alle organizzazioni di verificare con sicurezza i propri flussi di lavoro di sviluppo, riducendo i rischi, consentendo la conformità e, in definitiva, accelerando l'innovazione sicura”, ha affermato Chris Aniszczyk, CTO di CNCF. La laurea di In-toto segnala che il framework è stato testato sul campo ed è pronto per il grande pubblico. Per i CISO e i leader DevSecOps, significa che ora c'è un soluzione comprovata e verificata dalla comunità Per implementare i principi di zero trust nella pipeline di sviluppo. La domanda successiva è: come adottare in-toto nella propria organizzazione? in modo efficiente e senza attriti?
Implementazione in-toto senza attriti con ScribeHub e Valint
Sebbene in-toto fornisca il modello per la sicurezza della supply chain, implementarlo da zero può essere complesso. Le organizzazioni dovrebbero strumentare le proprie pipeline CI/CD per generare e verificare attestazioni crittografiche in ogni fase, gestire le chiavi crittografiche o utilizzare Sigstore, archiviare tutti i metadati, definire regole di policy e integrare gate di errore, il tutto senza rallentare gli sviluppatori. la soluzione migliore per raggiungere questo obiettivo senza problemi consiste nell'utilizzare una piattaforma creata appositamente per questo scopo. La piattaforma "ScribeHub" di Scribe Security, insieme al suo strumento Valint, offre un modo semplice per incorporare i principi in-toto nel tuo SDLC.
ScribeHub è una piattaforma completa per la sicurezza della supply chain del software che automatizza i controlli di integrità e conformità in tutta la software factory, dallo sviluppo alla distribuzione. Adotta un approccio "sicuro fin dalla progettazione" e "zero trust": automatizzare le attestazioni leggibili dalla macchina e applicando cancelli "guardrail-as-code" lungo tutta la pipeline. In sostanza, ScribeHub si integra con i tuoi strumenti di sviluppo e l'ambiente cloud per registrare continuamente le prove di ciò che accade in ogni build e per applicare politiche di sicurezza senza intervento manualeÈ importante sottolineare che l'approccio di Scribe è concepito per ridurre al minimo gli attriti con i team di sviluppoIntegrando la sicurezza nella pipeline (piuttosto che aggiungere revisioni fuori banda o passaggi extra per gli sviluppatori), ScribeHub garantisce la sicurezza è continua e trasparenteGli sviluppatori possono mantenere il loro ritmo agile e veloce, mentre Scribe lavora dietro le quinte per individuare anomalie e garantire che ogni versione sia affidabile.
Al centro di questo c'è Valente – Strumento di convalida dell'integrità di Scribe Security. Valint è un potente motore di CLI e policy che fornisce alle organizzazioni un modo per applicare policy di sicurezza "utilizzando il semplice concetto di firma e verifica dei dati." Infatti, Valente sta per Validazione + Integrità, e genera e verifica le prove crittografiche necessarie per dimostrare l'integrità del software. Può produrre e verificare attestazioni (prove digitali) per tutti i tipi di artefatti software: directory di codice sorgente, singoli file, immagini di container e persino interi repository Git. È possibile eseguire Valint come interfaccia a riga di comando (CLI) autonoma nella pipeline di CI o utilizzarlo come parte del servizio integrato ScribeHub. In entrambi i casi, mette in pratica l'idea fondamentale di in-toto – metadati della supply chain verificabili e firmati – in una forma pratica.
Sotto il cappuccio, Valint sfrutta il meglio della moderna tecnologia di sicurezza della supply chainL'ultima versione di Valint si basa su framework come SLSA per la provenienza, OPA per l'applicazione delle policy, Sigstore per la firma senza chiavee utilizza registri OCI per l'archiviazione delle attestazioni. In altre parole, Scribe ha assemblato un arsenale di standard aperti per garantire che le attestazioni e i controlli nella pipeline siano robusti e interoperabili. Ad esempio, la piattaforma di Scribe può eseguire automaticamente firma continua del codice e tracciamento della provenienza mediante attestazioni in-toto – tutto ciò aiuta contrastare gli attacchi di manomissione prima che influiscano sul tuo software.
Come funziona questo in una vera pipeline CI/CD? ScribeHub si integra direttamente con il tuo sistema di build (che sia Jenkins, GitHub Actions, GitLab, ecc.) per acquisire attestazioni firmate e verificabili dalla macchina in ogni fase di sviluppo. Dal momento in cui uno sviluppatore esegue il commit del codice, lo strumento Valint di Scribe può registrare una dichiarazione firmata di tale commit. Man mano che il codice attraversa le fasi di build, test e deployment, ogni passaggio genera la propria attestazione (ad esempio, “Build completato con questi input, producendo questo artefatto, in questo momento, tramite questo processo, firmato dalla chiave X”). Queste attestazioni vengono archiviate in modo a prova di manomissione (ad esempio, in un registro di artefatti OCI o nell'archivio di prove di Scribe) per un controllo successivo. Ancora più importante, sono immediatamente convalidato in base alle tue policy di sicurezza. ScribeHub consente ai team di sicurezza di definire policy (come codice) che descrivono le condizioni previste della pipeline, ad esempio, "Tutti gli artefatti devono essere firmati dal nostro servizio di build", or "Nessun contenitore può essere distribuito se contiene vulnerabilità critiche pubblicamente note per essere sfruttabili (KEV)." Queste politiche sono applicate in tempo reale. Man mano che viene generata ogni attestazione o SBOM, Valint lo verifica e il motore di policy di ScribeHub (powered by OPA) controlla per la conformità.
Se tutto sembra a posto, la pipeline procede senza interruzioni. Se viene rilevata una violazione, ScribeHub può “bloccare” il rilascio interrompendo la pipeline o segnalando il problema per la revisione. Ad esempio, se manca una firma o un'attestazione di build prevista, o se la funzione hash di un artefatto non corrisponde a ciò che dovrebbe essere, Scribe lo rileverà prima che quella build venga promossaQuesti guardrail automatizzati agiscono come cancelli di qualità: un'attestazione mancante o errata viene trattata come un controllo non riuscito, quindi la build rischiosa non arriva mai alla produzioneIn pratica, questo potrebbe significare un processo di build fallito con un chiaro messaggio di errore o un ticket JIRA creato automaticamente per il team di sicurezza, a seconda di come si configura la risposta. Questo approccio garantisce che la politica della catena di fornitura del software viene applicata automaticamente dal codice, non da revisioni manuali a posterioriCome afferma il CEO di Scribe, “Non puoi contare sul fatto che le persone ricordino le policy quando spediscono 10 build al giorno… Le regole devono essere integrate nel processo e applicate dalla pipeline”.
Integrando le attestazioni di in-toto e i controlli automatizzati delle policy, ScribeHub fornisce essenzialmente un sistema immunitario per il tuo SDLC. Verifica l'integrità e la provenienza di ogni componente e segnala qualsiasi violazione che potrebbe portare a una compromissione della catena di fornitura del softwareAd esempio, se un malware si fosse in qualche modo infiltrato in una dipendenza o le credenziali di uno sviluppatore fossero state rubate per firmare una build dannosa, le prove anomale (o la mancanza delle prove previste) avrebbero attivato i controlli di Scribe, bloccando il rilascio e avvisando il team. Questo offre ai CISO, ai responsabili della sicurezza dei prodotti e ai professionisti DevSecOps la tranquillità di sapere che viene distribuito solo codice sicuro e verificato, senza dover ispezionare personalmente ogni modifica. E grazie all'automazione e all'integrazione, tutto questo avviene con un impatto minimo sulla velocità di sviluppo: la sicurezza è integrata ma non ostruttiva.
Pronti a vedere la vera sicurezza dei prodotti in azione?
La laurea di In-toto e l'emergere di strumenti come ScribeHub segnalano che sicurezza reale del prodotto – il tipo che garantisce l'integrità della supply chain end-to-end – non è più un ideale lontano, ma un obiettivo raggiungibile oggi. CISO lungimiranti, responsabili della sicurezza dei prodotti e professionisti DevSecOps stanno già sfruttando queste soluzioni per proteggere le proprie organizzazioni e conformarsi alle nuove normative. Se siete interessati a rafforzare la vostra software factory senza aumentare l'attrito con gli sviluppatori, ti invitiamo a contattare Scribe Security per una demoScopri tu stesso come i principi di in-toto, implementati tramite ScribeHub e Valint, possono trasformare il tuo ciclo di vita dello sviluppo del software in un processo a prova di manomissione, trasparente e conforme. Contattaci per esplorare una demo dal vivo e fai il passo successivo verso una supply chain software veramente sicura e affidabile. I tuoi sviluppatori possono continuare a innovare a pieno ritmo e tu dormirai sonni tranquilli sapendo che ogni build è protetta da una sicurezza della supply chain all'avanguardia. Ci piacerebbe molto ti mostro come funziona!
Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.
Post Correlati
