in-toto とは何ですか? また、ソフトウェア サプライ チェーンをどのように保護しますか?
ソフトウェア サプライチェーン攻撃近年見られるような3CX、Codecov、Solarwindsのような事例は、従来の開発パイプラインの脆弱性を浮き彫りにしました。これに対し、オープンソースコミュニティは イン・トトソフトウェア配信のあらゆる段階で整合性を保証するフレームワークです。In-totoは ソフトウェア開発ライフサイクル全体の検証可能な記録 初期のコーディングから最終的なデプロイまで、各ステップが権限のある機関によって正しい順序で実行されることを保証します。ビルドプロセスの各フェーズに暗号署名とメタデータ(「アテステーション」)を添付することで、in-totoは攻撃者が気付かれずに悪意のある変更を紛れ込ませることをほぼ不可能にします。この包括的なアプローチは、 改ざんを防止し、不正な変更を検知し、出所を証明する ソフトウェア内のすべてのコンポーネントを保護し、コストのかかる侵害のリスクを大幅に軽減します。
in-toto の主な利点は次のとおりです。
- エンドツーエンドの整合性: CI/CDパイプラインのすべてのアクションは署名され、ログに記録されるため、 の 各ステップで信頼できるプロセスが実行されます。チェーン内の何かが変更されたり、順序が乱れたりした場合、in-totoがそれを検出します。
- 改ざん防止: In-toto の認証により、ビルド成果物またはコンポーネントが改ざんされた場合でも、不一致の暗号証拠が得られるため、サプライ チェーン攻撃がユーザーに届く前に阻止できます。
- コンプライアンスと透明性: in-totoは、誰が何を(いつ)行ったかを記録することで、進化するサイバーセキュリティの標準および規制へのコンプライアンスを強化します。これは、ソフトウェア部品表(SBOM)などの取り組みや、サプライチェーンの透明性向上を求めるSLSA(ソフトウェア成果物のサプライチェーンレベル)などのフレームワークと整合しています。
- 信頼性と信頼性: in-totoを使用すると、組織は 誠実さを証明する 顧客や監査担当者にソフトウェアを開示します。各リリースには、安全で信頼できる方法で構築されたことを示す証拠が添付されており、信頼性への信頼を高めています。
実際には、in-totoを採用するということは、開発プロセス全体にセキュリティチェックを挿入することを意味します。例えば、ビルドステップでは、そのステップの入力(ソースコード、依存関係)と出力(イメージ、コンテナ、バイナリ)を証明する署名付きの「link」ファイルを生成します。下流のステップでは、処理を進める前にこれらのリンクを検証します。こうすることで、攻撃者が悪意のあるコードを挿入しようとしたり、承認されていないコンポーネントを使用しようとしたりした場合、署名が欠落しているか無効であれば、パイプラインを停止させることができます。その結果、 ソフトウェアの保管チェーン – レシピの材料を追跡するのと同じようなもので、最終製品に未知のものや許可されていないものが混入されないようにします。
In-toto:学術プロジェクトから最先端のフレームワークへ
4月に23、2025、 in-totoは大きな節目を迎えました: クラウドネイティブコンピューティング財団(CNCF)がin-totoの卒業を発表 オープンソースプロジェクトとして最高の成熟度を達成しました。CNCF Graduationステータスは、安定性、普及率、そしてコミュニティからのサポートが実証されたプロジェクトに与えられます。In-totoの旅は、ニューヨーク大学タンドン工学部の研究プロジェクトとして始まり、現在では 「業界標準へと進化した」 サプライチェーンのセキュリティのために。in-totoの創設に協力したニューヨーク大学のジャスティン・カポス教授によると、この成果は in-totoの先駆的なアプローチを実証 ソフトウェア セキュリティを強化し、現代の脅威に対抗する実際の影響を実証します。
では、in-totoが今日、最先端で成熟したフレームワークである理由は何でしょうか?まず、強力なサポートと 幅広い採用In-totoは既にSolarWindsなどの企業で実稼働環境で使用されており、OpenVEXやGoogleのSLSAフレームワークといった業界標準にも統合されています。実際、in-totoの仕様は1.0年にバージョン2023に到達し、その安定性に関するコミュニティの合意を反映しています。また、このフレームワークは、NSFやDARPAなどの主要研究機関からの支援も受けており、継続的なイノベーションを保証しています。
ソフトウェアサプライチェーン攻撃が増加している中、in-toto が成熟するタイミングは理想的です。 「ソフトウェアサプライチェーンの脅威が規模と複雑さを増す中、in-totoは組織が開発ワークフローを自信を持って検証し、リスクを軽減し、コンプライアンスを確保し、最終的には安全なイノベーションを加速することを可能にします。」 CNCFのCTO、クリス・アニシュチク氏はこう述べています。In-totoの卒業は、このフレームワークが実戦でテストされ、プライムタイムの準備が整ったことを示しています。CISOやDevSecOpsのリーダーにとって、これは今や 実証済み、コミュニティで検証されたソリューション 開発パイプラインにゼロトラスト原則を実装する。次の質問は、組織内でどのようにin-totoを採用するかです。 効率的かつ摩擦なく?
ScribeHubとValintによるスムーズなIn-Toto実装
in-totoはサプライチェーンセキュリティの青写真を提供しますが、それをゼロから実装するのは複雑になる可能性があります。組織は、各ステップで暗号証明書を生成・検証し、暗号鍵を管理またはSigstoreを使用し、すべてのメタデータを保存し、ポリシールールを定義し、障害ゲートを統合するために、CI/CDパイプラインをインストルメント化する必要があります。これらはすべて、開発者の作業を遅らせることなく実行できます。 これをシームレスに実現するための最適なソリューション 仕事のために構築されたプラットフォームを使用することです。 Scribe Securityの「ScribeHub」プラットフォームは、Valintツールと組み合わせることで、SDLCにイントト原則をスムーズに組み込む方法を提供します。.
スクライブハブ は、開発から導入まで、ソフトウェアファクトリー全体にわたる整合性とコンプライアンスのチェックを自動化する包括的なソフトウェアサプライチェーンセキュリティプラットフォームです。設計段階からセキュリティを重視したゼロトラストアプローチを採用しています。 機械可読証明書の自動化 そして適用 「ガードレール・アズ・コード」ゲート パイプライン全体にわたって。本質的には、ScribeHubは開発ツールとクラウド環境と統合し、各ビルドで何が起こっているかを継続的に記録し、 手動介入なしでセキュリティポリシーを適用する重要なのは、Scribeのアプローチは 開発チームとの摩擦を最小限に抑えるScribeHubは、セキュリティをパイプラインに組み込むことで(アウトオブバンドレビューや開発者向けの追加手順を追加するのではなく)、 セキュリティは継続的かつ透明です開発者は素早いアジャイルペースを維持でき、その間に Scribe は舞台裏で異常を検出し、すべてのリリースが信頼できるものであることを保証します。
その中心にあるのは ヴァリント – Scribe Security の検証整合性ツール。 Valintは、組織にセキュリティポリシーを適用する方法を提供する強力なCLIおよびポリシーエンジンです。 「データの署名と検証というシンプルな概念を使用します。」 実際には、 ヴァリント の略 検証 + 整合性Valintは、ソフトウェアの整合性を証明するために必要な暗号的証拠を生成・検証します。ソースコードのディレクトリ、個々のファイル、コンテナイメージ、さらにはGitリポジトリ全体など、あらゆる種類のソフトウェア成果物(アテステーション)のアテステーション(デジタル証拠)を生成・検証できます。Valintは、CIパイプライン内でスタンドアロンのCLIとして実行することも、統合されたScribeHubサービスの一部として使用することもできます。いずれの場合も、Valintはin-toto(署名された検証可能なサプライチェーンメタデータ)の核となるアイデアを、便利な形で実現します。
フードの下、 Valintは最新のサプライチェーンセキュリティ技術を最大限に活用していますValintの最新リリースは、次のようなフレームワークをベースに構築されています。 起源に関するSLSA, ポリシー施行のためのOPA, キーレス署名用のSigstore、そしてOCIレジストリを使用してアテステーションを保存します。つまり、Scribeは、パイプラインにおけるアテステーションとチェックが堅牢で相互運用性があることを保証するために、オープンスタンダードを豊富に取り揃えています。例えば、Scribeのプラットフォームは、 in-toto 認証を使用した継続的なコード署名と出所追跡 これらすべてが役立つ 改ざん攻撃を阻止する ソフトウェアに影響を与える前に。
では、実際のCI/CDパイプラインではどのように機能するのでしょうか?ScribeHubはビルドシステム(Jenkins、GitHub Actions、GitLabなど)と直接統合して、 あらゆる段階で署名された機械検証可能な証明書を取得する 開発のプロセス。開発者がコードをコミットした瞬間から、ScribeのValintツールはそのコミットの署名付きステートメントを記録できます。コードがビルド、テスト、そしてデプロイメントの段階を進むにつれて、各ステップで独自のアテステーションが生成されます(例えば、 「これらの入力でビルドが完了し、このプロセスによって、このアーティファクトが生成され、キーXで署名されました」これらの証明は、後で監査できるように、改ざん防止の方法(OCIアーティファクトレジストリやScribeの証拠ストアなど)で保存されます。さらに重要なのは、 すぐに検証 セキュリティポリシーに違反しているかどうかを確認します。ScribeHubを使用すると、セキュリティチームはパイプラインの想定される条件を記述したポリシーをコードとして定義できます。たとえば、 「すべての成果物は当社のビルドサービスによって署名される必要があります。」 or 「悪用される可能性があることが公に知られている重大な脆弱性が含まれているコンテナはデプロイできません (KEV)。」 これらのポリシーは施行されています リアルタイムで各証明書またはSBOMが生成されると、 Valintがそれを検証し、ScribeHubのポリシーエンジン(OPA搭載)がチェックします。 コンプライアンスのため。
すべてが順調であれば、パイプラインは中断することなく進行します。違反が見つかった場合、ScribeHubは パイプラインを停止したり、問題にフラグを立てたりしてリリースを「ゲート」する レビューのために。例えば、期待される署名やビルド証明が欠落していたり、成果物のハッシュ関数が本来あるべきものと一致していなかったりする場合、Scribeはそれを検出します。 そのビルドが昇格される前にこれらの自動化されたガードレールは品質ゲートとして機能します。欠落または不正確なアテステーションはチェック失敗として扱われるため、リスクのあるビルドは 生産には至らない実際には、レスポンスの設定方法に応じて、明確なエラーメッセージとともにビルドジョブが失敗するか、セキュリティチーム向けにJIRAチケットが自動的に作成される可能性があります。このアプローチにより、 ソフトウェアサプライチェーンポリシーは、事後の手動レビューではなく、コードによって自動的に適用されます。ScribeのCEOはこう語る。 「10日にXNUMXビルドを出荷しているときに、人々がポリシーを覚えているとは期待できません…ルールはプロセスに組み込み、パイプラインによって強制される必要があります。」.
in-totoの認証と自動ポリシーチェックを統合することで、ScribeHubは本質的に SDLCの免疫システムすべてのコンポーネントの整合性と出所を検証し、 ソフトウェアサプライチェーンの侵害につながる可能性のある違反をゲートします例えば、マルウェアが何らかの形で依存関係に侵入したり、開発者の認証情報が不正に盗まれて悪意のあるビルドに署名されたりした場合、異常な証拠(または期待される証拠の欠如)がScribeの制御をトリガーし、リリースを停止してチームに警告を発します。これにより、CISO、製品セキュリティリーダー、DevSecOps担当者は安心して作業を進めることができます。 検証された安全なコードのみが展開されるすべての変更を個別に確認する必要はありません。自動化と統合により、開発速度への影響を最小限に抑えながら、これらすべてを実現できます。 セキュリティは組み込まれているが邪魔にならない.
実際の製品セキュリティを実際に見てみませんか?
イントトの卒業とScribeHubのようなツールの出現は、 真の製品セキュリティ エンドツーエンドのサプライチェーンの整合性を実現するようなセキュリティは、もはや遠い理想ではなく、今日では達成可能な目標です。先見の明のあるCISO、製品セキュリティ責任者、そしてDevSecOpsの実践者は、既にこれらのソリューションを活用して組織を保護し、新しい規制に準拠しています。開発者の負担を増やすことなくソフトウェアファクトリーを強化したいとお考えなら、 デモについてはScribe Securityにお問い合わせください。ScribeHub と Valint を通じて実装された in-toto の原則によって、SDLC が改ざん防止、透明性、コンプライアンス遵守を備えたプロセスに変革される様子を、ぜひご自身でご確認ください。 ライブデモをご覧になるにはお問い合わせください 真に安全で信頼できるソフトウェアサプライチェーンへの新たな一歩を踏み出しましょう。開発者はフルスピードでイノベーションを継続でき、すべてのビルドが最先端のサプライチェーンセキュリティによって保護されていることを安心してご利用いただけます。ぜひご相談ください。 仕組みをお見せします!
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。
関連記事
