Wat is in-toto en hoe beschermt het de softwaretoeleveringsketen?
Software aanvallen op de toeleveringsketen, zoals die van de afgelopen jaren – 3CX, Codecov en Solarwinds – hebben de kwetsbaarheid van traditionele ontwikkelpijplijnen benadrukt. Als reactie hierop ontwikkelde de open-sourcecommunity in-toto, een raamwerk om integriteit te garanderen bij elke stap van de softwarelevering. In-toto creëert een verifieerbaar verslag van de volledige softwareontwikkelingscyclus – van de eerste codering tot de uiteindelijke implementatie – ervoor zorgen dat elke stap in de juiste volgorde wordt uitgevoerd door geautoriseerde instanties. Door cryptografische handtekeningen en metadata ("attestations") aan elke fase van het bouwproces toe te voegen, maakt in-toto het vrijwel onmogelijk voor een aanvaller om ongemerkt kwaadaardige wijzigingen aan te brengen. Deze allesomvattende aanpak voorkomt manipulatie, detecteert ongeautoriseerde wijzigingen en bewijst de herkomst van elk onderdeel van uw software, waardoor het risico op kostbare inbreuken aanzienlijk wordt verminderd.
De belangrijkste voordelen van in-toto zijn:
- End-to-end integriteit: Elke actie in de CI/CD-pijplijn wordt ondertekend en geregistreerd, zodat u kunt verifiëren dat Slechts Betrouwbare processen voerden elke stap uit. Als er iets in de keten verandert of niet in orde is, detecteert in-toto dit.
- Sabotagebestendigheid: Met de attestaties van In-toto beschikt u over cryptografisch bewijs van de mismatch als er met een build-artefact of component is geknoeid. Zo kunt u aanvallen op de toeleveringsketen voorkomen voordat deze gebruikers bereiken.
- Naleving en transparantie: Door vast te leggen wie wat (en wanneer) heeft gedaan, wordt de naleving van evoluerende cybersecuritynormen en -regelgeving versterkt. Het sluit aan bij initiatieven zoals softwarefacturen (SBOM's) en raamwerken zoals SLSA (Supply-chain Levels for Software Artifacts) die een grotere transparantie in de toeleveringsketen vereisen.
- Vertrouwen en betrouwbaarheid: Met in-toto kunnen organisaties bewijs de integriteit van hun software aan klanten en auditors. Elke release wordt geleverd met bewijs dat deze op een veilige en betrouwbare manier is gebouwd, wat het vertrouwen in de betrouwbaarheid ervan vergroot.
In de praktijk betekent het implementeren van in-toto het inbouwen van beveiligingscontroles gedurende uw ontwikkelingsproces. Een buildstap genereert bijvoorbeeld een ondertekend 'link'-bestand dat de invoer (broncode, afhankelijkheden) en uitvoer (images, containers, binaire bestanden) van die stap bevestigt. Downstream-stappen verifiëren deze links voordat ze verdergaan. Op deze manier kan de ontbrekende of ongeldige handtekening de pijplijn blokkeren als een aanvaller probeert schadelijke code te injecteren of een niet-goedgekeurde component te gebruiken. Het resultaat is een keten van bewaring voor software – net zoals het bijhouden van ingrediënten in een recept – zorgt u ervoor dat er niets onbekends of ongeautoriseerds in uw eindproduct terechtkomt.
In-toto: van academisch project tot geavanceerd raamwerk
In april 23, 2025, in-toto heeft een belangrijke mijlpaal bereikt: the Cloud Native Computing Foundation (CNCF) heeft de volledige afstudeerceremonie aangekondigd naar het hoogste volwassenheidsniveau als open-sourceproject. De CNCF-graduatiestatus is gereserveerd voor projecten die hun stabiliteit, acceptatie en community-ondersteuning hebben bewezen. In-toto's reis begon als een onderzoeksproject aan de NYU Tandon School of Engineering en is nu “geëvolueerd tot een industriestandaard” voor supply chain security. Volgens Justin Cappos, de NYU-professor die meewerkte aan de ontwikkeling van in-toto, is deze prestatie valideert de baanbrekende aanpak van in-toto voor softwarebeveiliging en toont de impact ervan in de praktijk bij de bestrijding van moderne bedreigingen.
Wat maakt in-toto vandaag de dag tot een geavanceerd, volwassen framework? Ten eerste heeft het een sterke basis en brede acceptatieIn-toto wordt al in productie genomen door bedrijven zoals SolarWinds en is geïntegreerd in industriestandaarden zoals OpenVEX en Google's SLSA-framework. De specificatie van In-toto bereikte versie 1.0 in 2023, wat de consensus binnen de community over de stabiliteit ervan weerspiegelt. Het framework heeft ook geprofiteerd van de steun van grote onderzoeksbureaus (waaronder de NSF en DARPA), wat zorgt voor voortdurende innovatie.
Nu aanvallen op de softwaretoeleveringsketen toenemen, is dit het ideale moment om in-toto volwassen te maken. "Naarmate bedreigingen voor de softwaretoeleveringsketen in omvang en complexiteit toenemen, stelt in-toto organisaties in staat hun ontwikkelingsworkflows met vertrouwen te verifiëren, risico's te verminderen, naleving te bevorderen en uiteindelijk veilige innovatie te versnellen." zei Chris Aniszczyk, CTO van CNCF. De afstudeerceremonie van In-toto geeft aan dat het framework beproefd is en klaar voor het grote publiek. Voor CISO's en DevSecOps-leiders betekent dit dat er nu een bewezen, door de gemeenschap gecontroleerde oplossing om zero-trustprincipes te implementeren in de ontwikkelingspijplijn. De volgende vraag is: hoe implementeert u deze integraal in uw organisatie? efficiënt en wrijvingsloos?
Wrijvingsloze in-toto-implementatie met ScribeHub en Valint
Hoewel in-toto de blauwdruk voor supply chain-beveiliging biedt, kan de implementatie ervan vanaf nul complex zijn. Organisaties zouden hun CI/CD-pipelines moeten instrueren om cryptografische attesten bij elke stap te genereren en te verifiëren, cryptografische sleutels te beheren of Sigstore te gebruiken, alle metadata op te slaan, beleidsregels te definiëren en foutpoorten te integreren – allemaal zonder ontwikkelaars te vertragen. beste oplossing om dit naadloos te bereiken is het gebruiken van een platform dat speciaal voor de taak is ontworpen. Het platform “ScribeHub” van Scribe Security biedt samen met de Valint-tool een soepele manier om in-toto-principes in uw SDLC te integreren.
ScribeHub is een uitgebreid beveiligingsplatform voor de software-supply chain dat integriteits- en compliancecontroles in de gehele softwarefabriek automatiseert – van ontwikkeling tot implementatie. Het maakt gebruik van een veilige, zero-trust-aanpak: het automatiseren van machineleesbare attesten en toepassen “leuningen-als-code” poorten in de gehele pijplijn. In essentie integreert ScribeHub met uw ontwikkeltools en cloudomgeving om continu bewijs vast te leggen van wat er in elke build gebeurt, en om beveiligingsbeleid afdwingen zonder handmatige tussenkomstBelangrijk is dat de aanpak van Scribe is gebouwd om wrijving met ontwikkelteams minimaliserenDoor beveiliging in de pijplijn te integreren (in plaats van out-of-band reviews of extra stappen voor ontwikkelaars toe te voegen), zorgt ScribeHub ervoor de beveiliging is continu en transparantOntwikkelaars kunnen hun snelle, flexibele tempo behouden, terwijl Scribe achter de schermen bezig is om afwijkingen te detecteren en ervoor te zorgen dat elke release betrouwbaar is.
De kern hiervan is Valint – De Validation Integrity-tool van Scribe Security. Valint is een krachtige CLI en beleidsengine die organisaties de mogelijkheid biedt om beveiligingsbeleid af te dwingen “door gebruik te maken van het eenvoudige concept van het ondertekenen en verifiëren van gegevens.” Eigenlijk, Valint staat voor Validatie + Integriteit, en het genereert en controleert het cryptografische bewijs dat nodig is om de integriteit van uw software aan te tonen. Het kan attestaties (digitaal bewijs) produceren en verifiëren voor allerlei software-artefacten: directory's met broncode, individuele bestanden, containerimages en zelfs complete Git-repositories. U kunt Valint gebruiken als een standalone CLI in uw CI-pipeline of als onderdeel van de geïntegreerde ScribeHub-service. Hoe dan ook, het brengt het kernidee van in-toto – ondertekende, verifieerbare metadata van de toeleveringsketen – in de praktijk op een handige manier.
Onder de motorkap, Valint maakt gebruik van het beste van moderne technologieën voor supply chain-beveiligingDe nieuwste versie van Valint bouwt voort op frameworks zoals SLSA voor herkomst, OPA voor beleidshandhaving, Sigstore voor sleutelloos ondertekenenen gebruikt OCI-registers voor het opslaan van attestaties. Met andere woorden, Scribe heeft een arsenaal aan open standaarden samengesteld om ervoor te zorgen dat de attestaties en controles in uw pijplijn robuust en interoperabel zijn. Het platform van Scribe kan bijvoorbeeld automatisch continue codeondertekening en herkomstregistratie met behulp van in-toto-attestaties – die allemaal helpen sabotage-aanvallen verijdelen voordat ze uw software beïnvloeden.
Hoe werkt dit in een echte CI/CD-pijplijn? ScribeHub integreert direct met je bouwsysteem (of het nu Jenkins, GitHub Actions, GitLab, etc. is) om vastleggen van ondertekende, machinaal verifieerbare attestaties in elke fase van ontwikkeling. Vanaf het moment dat een ontwikkelaar code commit, kan de Valint-tool van Scribe een ondertekende verklaring van die commit vastleggen. Naarmate de code de build-, test- en implementatiefasen doorloopt, genereert elke stap zijn eigen attestatie (bijvoorbeeld “Bouw voltooid met deze inputs, en produceert dit artefact, op dit moment, door dit proces, ondertekend door sleutel X”Deze attestaties worden op een fraudebestendige manier opgeslagen (bijvoorbeeld in een OCI-artefactenregister of in de bewijsopslag van Scribe) voor latere controle. Belangrijker nog, ze zijn onmiddellijk gevalideerd tegen uw beveiligingsbeleid. Met ScribeHub kunnen beveiligingsteams beleid definiëren (als code) dat de verwachte omstandigheden van de pijplijn beschrijft, bijvoorbeeld: “Alle artefacten moeten door onze bouwservice worden ondertekend”, or “Er mag geen enkele container worden ingezet als deze kritieke kwetsbaarheden bevat waarvan publiekelijk bekend is dat ze kunnen worden uitgebuit (KEV).” Deze beleidsregels worden gehandhaafd live. Naarmate elke attestatie of SBOM wordt gegenereerd, Valint verifieert het en de beleidsengine van ScribeHub (aangedreven door OPA) controleert voor naleving.
Als alles er goed uitziet, verloopt de pijplijn zonder onderbreking. Als er een overtreding wordt gevonden, kan ScribeHub ‘afschermen’ de release door de pijplijn te stoppen of het probleem te markeren ter beoordeling. Als bijvoorbeeld een verwachte handtekening of build-attestatie ontbreekt, of als de hashfunctie van een artefact niet overeenkomt met wat het zou moeten zijn, zal Scribe dit detecteren. voordat die build wordt gepromootDeze geautomatiseerde vangrails fungeren als kwaliteitspoorten: een ontbrekende of onjuiste attestatie wordt behandeld als een mislukte controle, dus de risicovolle bouw haalt de productie nooitIn de praktijk kan dit betekenen dat een build-job mislukt met een duidelijke foutmelding, of dat er automatisch een JIRA-ticket wordt aangemaakt voor het beveiligingsteam, afhankelijk van hoe u de respons configureert. Deze aanpak zorgt ervoor dat Het beleid voor de softwaretoeleveringsketen wordt automatisch afgedwongen door code, niet door handmatige beoordelingen achterafZoals de CEO van Scribe het zegt: "Je kunt er niet op vertrouwen dat mensen zich het beleid herinneren als ze tien builds per dag verzenden... De regels moeten in het proces worden ingebouwd en door de pijplijn worden gehandhaafd.".
Door de integratie van de attestaties en geautomatiseerde beleidscontroles van in-toto biedt ScribeHub in wezen een immuunsysteem voor uw SDLCHet verifieert de integriteit en herkomst van elk onderdeel en het controleert alle schendingen die kunnen leiden tot een inbreuk op de software-toeleveringsketenAls malware bijvoorbeeld op de een of andere manier in een afhankelijkheid terechtkomt of als de inloggegevens van een ontwikkelaar worden gekaapt om een kwaadaardige build te ondertekenen, activeert het afwijkende bewijs (of het ontbreken van het verwachte bewijs) de controles van Scribe, waardoor de release wordt gestopt en uw team wordt gewaarschuwd. Dit geeft CISO's, product security managers en DevSecOps-professionals de gemoedsrust dat alleen gecontroleerde, veilige code wordt geïmplementeerd, zonder dat u elke wijziging persoonlijk hoeft te controleren. En dankzij de automatisering en integratie gebeurt dit alles met minimale vertraging van uw ontwikkelsnelheid – beveiliging is ingebed maar niet belemmerend.
Bent u klaar om echte productbeveiliging in actie te zien?
De afstuderen van In-toto en de opkomst van tools zoals ScribeHub geven aan dat echte productbeveiliging – het soort dat end-to-end supply chain-integriteit biedt – is niet langer een ver-van-mijn-bed-show, maar een haalbaar doel. Vooruitstrevende CISO's, product security managers en DevSecOps-professionals maken al gebruik van deze oplossingen om hun organisaties te beschermen en te voldoen aan nieuwe regelgeving. Bent u geïnteresseerd in het versterken van uw softwarefabriek zonder de ontwikkelaars te irriteren? Wij nodigen u uit om contact op te nemen met Scribe Security voor een demoOntdek zelf hoe de principes van in-toto, geïmplementeerd via ScribeHub en Valint, uw SDLC kunnen transformeren in een fraudebestendig, transparant en compliant proces. Neem contact met ons op om een live demo te bekijken en zet de volgende stap naar een echt veilige en betrouwbare softwaretoeleveringsketen. Uw ontwikkelaars kunnen op volle toeren blijven innoveren – en u kunt gerust zijn in de wetenschap dat elke build wordt beschermd door de nieuwste technologieën op het gebied van supply chain-beveiliging. We horen graag van u. laten zien hoe het werkt!
Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.
Gerelateerde berichten
