O que é in-toto e como ele protege a cadeia de suprimentos de software?
Software ataques à cadeia de abastecimento, como os observados nos últimos anos – 3CX, Codecov e Solarwinds – evidenciaram a fragilidade dos pipelines de desenvolvimento tradicionais. Em resposta, a comunidade de código aberto desenvolveu no total, uma estrutura para garantir a integridade em todas as etapas da entrega do software. O In-toto cria uma registro verificável de todo o ciclo de vida de desenvolvimento de software – da codificação inicial à implantação final – garantindo que cada etapa seja executada por entidades autorizadas na ordem correta. Ao anexar assinaturas criptográficas e metadados (“atestados”) a cada fase do processo de construção, torna-se quase impossível para um invasor introduzir alterações maliciosas despercebidas. Essa abordagem abrangente evita adulterações, detecta modificações não autorizadas e comprova a procedência de cada componente do seu software, reduzindo significativamente o risco de violações dispendiosas.
Os principais benefícios do in-toto incluem:
- Integridade de ponta a ponta: Cada ação no pipeline de CI/CD é assinada e registrada, para que você possa verificar isso só Processos confiáveis executam cada etapa. Se algo na cadeia for alterado ou estiver fora de ordem, o in-toto detectará.
- Resistência à violação: As atestações da In-toto garantem que, se um artefato ou componente de compilação foi adulterado, você terá evidências criptográficas da incompatibilidade, frustrando ataques à cadeia de suprimentos antes que eles cheguem aos usuários.
- Conformidade e Transparência: Ao registrar quem fez o quê (e quando), o in-toto reforça a conformidade com os padrões e regulamentações de segurança cibernética em constante evolução. Alinha-se a iniciativas como listas de materiais de software (SBOMs) e estruturas como SLSA (Níveis da Cadeia de Suprimentos para Artefatos de Software), que exigem maior transparência na cadeia de suprimentos.
- Confiança e Confiabilidade: Com o in-toto, as organizações podem provar a integridade de seu software para clientes e auditores. Cada versão traz evidências de que foi desenvolvida de forma segura e confiável, aumentando a confiança em sua confiabilidade.
Na prática, adotar a abordagem in-toto significa inserir verificações de segurança em todo o processo de desenvolvimento. Por exemplo, uma etapa de build geraria um arquivo de "link" assinado, atestando as entradas (código-fonte, dependências) e saídas (imagens, contêineres, binários) dessa etapa. As etapas posteriores verificam esses links antes de prosseguir. Dessa forma, se um invasor tentar injetar código malicioso ou usar um componente não aprovado, a assinatura ausente ou inválida pode interromper o pipeline. O resultado é um cadeia de custódia para software – muito parecido com o rastreamento de ingredientes em uma receita – que garante que nada desconhecido ou não autorizado seja incorporado ao seu produto final.
In-toto: Do Projeto Acadêmico à Estrutura de Ponta
Em abril 23, 2025, in-toto atingiu um marco importante: da A Cloud Native Computing Foundation (CNCF) anunciou a formatura da in-toto ao mais alto nível de maturidade como um projeto de código aberto. O status de Graduação CNCF é reservado para projetos que comprovaram sua estabilidade, adoção e apoio da comunidade. A jornada do In-toto começou como um projeto de pesquisa na Escola de Engenharia Tandon da NYU e agora “evoluiu para um padrão da indústria” para a segurança da cadeia de suprimentos. De acordo com Justin Cappos, o professor da NYU que ajudou a criar o in-toto, essa conquista valida a abordagem pioneira da in-toto à segurança de software e demonstra seu impacto no mundo real no combate a ameaças modernas.
Então, o que torna o in-toto uma estrutura de ponta e madura hoje? Primeiro, ele tem um forte apoio e ampla adoçãoO In-toto já é utilizado em produção por empresas como a SolarWinds e está integrado a padrões da indústria, como o OpenVEX e a estrutura SLSA do Google. De fato, a especificação do In-toto alcançou a versão 1.0 em 2023, refletindo o consenso da comunidade sobre sua estabilidade. A estrutura também se beneficiou do apoio de importantes agências de pesquisa (incluindo a NSF e a DARPA), garantindo inovação contínua.
Com o aumento dos ataques à cadeia de suprimentos de software, o momento ideal para a maturidade do in-toto. “À medida que as ameaças à cadeia de suprimentos de software crescem em escala e complexidade, o in-toto permite que as organizações verifiquem com segurança seus fluxos de trabalho de desenvolvimento, reduzindo riscos, permitindo a conformidade e, finalmente, acelerando a inovação segura.” disse Chris Aniszczyk, CTO da CNCF. A formatura da In-toto sinaliza que a estrutura foi testada e está pronta para o grande dia. Para CISOs e líderes de DevSecOps, isso significa que agora há uma solução comprovada e verificada pela comunidade implementar princípios de confiança zero no pipeline de desenvolvimento. A próxima pergunta é: como você adota o in-toto em sua organização? de forma eficiente e sem atrito?
Implementação In-Toto sem atrito com ScribeHub e Valint
Embora o in-toto forneça o modelo para a segurança da cadeia de suprimentos, implementá-lo do zero pode ser complexo. As organizações precisariam instrumentar seus pipelines de CI/CD para gerar e verificar atestados criptográficos em cada etapa, gerenciar chaves criptográficas ou usar o Sigstore, armazenar todos os metadados, definir regras de política e integrar portas de falha – tudo isso sem atrasar os desenvolvedores. melhor solução para conseguir isso perfeitamente é usar uma plataforma criada para o trabalho. A plataforma “ScribeHub” da Scribe Security, juntamente com sua ferramenta Valint, oferece uma maneira fácil de incorporar princípios completos em seu SDLC.
ScribeHub é uma plataforma abrangente de segurança da cadeia de suprimentos de software que automatiza verificações de integridade e conformidade em toda a fábrica de software – do desenvolvimento à implantação. Ela emprega uma abordagem de segurança por design e confiança zero: automatizando atestados legíveis por máquina e aplicando portões “guardrails-as-code” ao longo do pipeline. Em essência, o ScribeHub integra-se com suas ferramentas de desenvolvimento e ambiente de nuvem para registrar continuamente evidências do que está acontecendo em cada compilação e para aplicar políticas de segurança sem intervenção manual. É importante ressaltar que a abordagem do Scribe é construída para minimizar o atrito com as equipes de desenvolvimento. Ao incorporar a segurança no pipeline (em vez de adicionar revisões fora de banda ou etapas extras para desenvolvedores), o ScribeHub garante a segurança é contínua e transparente. Os desenvolvedores podem manter seu ritmo rápido e ágil, enquanto o Scribe trabalha nos bastidores para detectar anomalias e garantir que cada lançamento seja confiável.
No centro disso está Valint – Ferramenta de integridade de validação da Scribe Security. Valint é um poderoso CLI e mecanismo de política que fornece às organizações uma maneira de aplicar políticas de segurança “usando o conceito simples de assinar e verificar dados.” Na verdade, Valint é um anagrama para Validação + Integridade, e gera e verifica as evidências criptográficas necessárias para comprovar a integridade do seu software. Ele pode produzir e verificar atestados (evidências digitais) para todos os tipos de artefatos de software: diretórios de código-fonte, arquivos individuais, imagens de contêiner e até mesmo repositórios Git inteiros. Você pode executar o Valint como uma CLI independente no seu pipeline de CI ou usá-lo como parte do serviço integrado ScribeHub. De qualquer forma, ele coloca em prática a ideia central do in-toto – metadados da cadeia de suprimentos verificáveis e assinados – de forma conveniente.
Sob o capô, A Valint aproveita o melhor da tecnologia moderna de segurança da cadeia de suprimentos. A versão mais recente do Valint baseia-se em estruturas como SLSA para proveniência, OPA para aplicação de políticas, Sigstore para assinatura sem chavee utiliza registros OCI para armazenar atestados. Em outras palavras, a Scribe reuniu um arsenal de padrões abertos para garantir que os atestados e verificações em seu pipeline sejam robustos e interoperáveis. Por exemplo, a plataforma da Scribe pode executar automaticamente assinatura contínua de código e rastreamento de proveniência usando atestados in-toto – tudo isso ajuda impedir ataques de adulteração antes que eles afetem seu software.
Então, como isso funciona em um pipeline de CI/CD real? O ScribeHub se integra diretamente ao seu sistema de compilação (seja Jenkins, GitHub Actions, GitLab, etc.) para capturar atestados assinados e verificáveis por máquina em todas as etapas de desenvolvimento. A partir do momento em que um desenvolvedor envia o código, a ferramenta Valint do Scribe pode registrar uma declaração assinada desse envio. À medida que o código avança pelos estágios de construção, teste e implantação, cada etapa gera sua própria atestação (por exemplo, “Construção concluída com essas entradas, produzindo esse artefato, neste momento, por esse processo, assinado pela chave X”). Essas atestações são armazenadas de forma inviolável (por exemplo, um registro de artefatos do OCI ou um repositório de evidências do Scribe) para auditoria posterior. Mais importante ainda, elas são imediatamente validado contra suas políticas de segurança. O ScribeHub permite que as equipes de segurança definam políticas (como código) que descrevem as condições esperadas do pipeline – por exemplo, “Todos os artefatos devem ser assinados pelo nosso serviço de construção”, or “Nenhum contêiner pode ser implantado se contiver vulnerabilidades críticas que sejam publicamente conhecidas como exploráveis (KEV).” Essas políticas são aplicadas em tempo real. À medida que cada atestado ou SBOM é gerado, A Valint verifica e o mecanismo de política do ScribeHub (alimentado pela OPA) verifica Para conformidade.
Se tudo estiver correto, o pipeline prossegue sem interrupção. Se uma violação for encontrada, o ScribeHub pode “bloquear” a liberação interrompendo o pipeline ou sinalizando o problema para revisão. Por exemplo, se uma assinatura esperada ou atestado de construção estiver faltando, ou se a função hash de um artefato não corresponder ao que deveria ser, o Scribe o detectará antes que a construção seja promovida. Essas proteções automatizadas atuam como portões de qualidade: uma atestação ausente ou incorreta é tratada como uma verificação com falha, portanto, a construção arriscada nunca chega à produção. Na prática, isso pode significar uma tarefa de compilação com falha e uma mensagem de erro clara, ou um tíquete JIRA criado automaticamente para a equipe de segurança, dependendo de como você configura a resposta. Essa abordagem garante que a política da cadeia de fornecimento de software é aplicada automaticamente por código, não por revisões manuais posteriores. Como diz o CEO da Scribe, “Você não pode confiar que as pessoas se lembrarão das políticas quando estão entregando 10 builds por dia… As regras precisam ser incorporadas ao processo e aplicadas pelo pipeline”.
Ao integrar as atestações e verificações de políticas automatizadas do in-toto, o ScribeHub fornece essencialmente uma sistema imunológico para seu SDLC. Ele verifica a integridade e a procedência de cada componente e bloqueia quaisquer violações que possam levar ao comprometimento da cadeia de suprimentos de softwarePor exemplo, se um malware, de alguma forma, invadisse uma dependência ou as credenciais de um desenvolvedor fossem sequestradas para assinar uma compilação maliciosa, a evidência anormal (ou a falta da evidência esperada) acionaria os controles do Scribe, interrompendo o lançamento e alertando sua equipe. Isso dá aos CISOs, líderes de segurança de produtos e profissionais de DevSecOps a tranquilidade de que somente código verificado e seguro é implantado, sem ter que inspecionar pessoalmente cada mudança. E, graças à automação e à integração, tudo isso acontece com o mínimo de impacto na sua velocidade de desenvolvimento – a segurança está incorporada, mas não obstrutiva.
Pronto para ver a segurança real do produto em ação?
A graduação do In-toto e o surgimento de ferramentas como o ScribeHub sinalizam que segurança real do produto – o tipo que garante a integridade da cadeia de suprimentos de ponta a ponta – não é mais um ideal distante, mas uma meta alcançável hoje. CISOs com visão de futuro, líderes de segurança de produtos e profissionais de DevSecOps já estão utilizando essas soluções para proteger suas organizações e cumprir com as novas regulamentações. Se você tem interesse em fortalecer sua fábrica de software sem aumentar o atrito entre desenvolvedores, convidamos você a entrar em contato com a Scribe Security para uma demonstração. Veja você mesmo como os princípios da in-toto, implementados por meio do ScribeHub e da Valint, podem transformar seu SDLC em um processo inviolável, transparente e compatível. Entre em contato conosco para explorar uma demonstração ao vivo e dê o próximo passo em direção a uma cadeia de suprimentos de software verdadeiramente segura e confiável. Seus desenvolvedores podem continuar inovando a todo vapor – e você dormirá tranquilo sabendo que cada build é protegido pela mais avançada segurança da cadeia de suprimentos. Adoraríamos mostrar como funciona!
Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.
Artigos Relacionados
