Что такое in-toto и как он защищает цепочку поставок программного обеспечения?
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ атаки на цепочку поставок, как те, что были замечены в последние годы – 3CX, Codecov и Solarwinds – подчеркнули хрупкость традиционных конвейеров разработки. В ответ сообщество разработчиков ПО с открытым исходным кодом разработало в целом, фреймворк для обеспечения целостности на каждом этапе поставки программного обеспечения. In-toto создает проверяемая запись всего жизненного цикла разработки программного обеспечения – от начального кодирования до окончательного развертывания – обеспечение того, чтобы каждый шаг выполнялся уполномоченными лицами в правильном порядке. Прикрепляя криптографические подписи и метаданные («подтверждения») к каждой фазе процесса сборки, in-toto делает практически невозможным для злоумышленника незаметно внести вредоносные изменения. Этот комплексный подход предотвращает несанкционированное вмешательство, выявляет несанкционированные изменения и подтверждает происхождение каждого компонента вашего программного обеспечения, что значительно снижает риск дорогостоящих нарушений.
Основные преимущества in-toto включают в себя:
- Сквозная целостность: Каждое действие в конвейере CI/CD подписывается и регистрируется, поэтому вы можете убедиться в этом. Важно доверенные процессы, выполняемые на каждом шаге. Если что-то в цепочке изменено или не в порядке, in-toto это обнаружит.
- Устойчивость к взлому: Подтверждения In-toto гарантируют, что в случае подделки артефакта или компонента сборки у вас будет криптографическое доказательство несоответствия, что позволит предотвратить атаки на цепочку поставок до того, как они достигнут пользователей.
- Соблюдение требований и прозрачность: Регистрируя, кто что сделал (и когда), in-toto усиливает соответствие развивающимся стандартам и правилам кибербезопасности. Он согласуется с такими инициативами, как спецификации материалов программного обеспечения (SBOMs), и такими фреймворками, как SLSA (уровни цепочки поставок для программных артефактов), которые требуют большей прозрачности цепочки поставок.
- Доверие и надежность: С помощью in-toto организации могут доказать честность своего программного обеспечения клиентам и аудиторам. Каждый релиз сопровождается доказательством того, что он был создан безопасным и надежным способом, что повышает уверенность в его надежности.
На практике принятие in-toto означает вставку проверок безопасности на протяжении всего процесса разработки. Например, шаг сборки сгенерирует подписанный файл «ссылки», подтверждающий входные данные (исходный код, зависимости) и выходные данные (изображения, контейнеры, двоичные файлы) этого шага. Нижестоящие шаги проверяют эти ссылки перед продолжением. Таким образом, если злоумышленник попытается внедрить вредоносный код или использовать неутвержденный компонент, отсутствующая или недействительная подпись может вызвать остановку конвейера. Результатом является цепочка поставок программного обеспечения – подобно отслеживанию ингредиентов в рецепте – это гарантирует, что в ваш конечный продукт не попадут ничего неизвестного или несанкционированного.
In-toto: от академического проекта до передовой структуры
В апреле 23, 2025, in-toto достигла важной вехи: Фонд Cloud Native Computing Foundation (CNCF) объявил о выпуске in-toto на самый высокий уровень зрелости как проект с открытым исходным кодом. Статус выпускника CNCF зарезервирован для проектов, которые доказали свою стабильность, принятие и поддержку сообщества. Путь In-toto начался как исследовательский проект в Школе инженерии Тандон Нью-Йоркского университета, и теперь он «превратился в отраслевой стандарт» для безопасности цепочки поставок. По словам Джастина Каппоса, профессора Нью-Йоркского университета, который помог создать in-toto, это достижение подтверждает новаторский подход in-toto безопасности программного обеспечения и демонстрирует его реальное влияние на борьбу с современными угрозами.
Так что же делает in-toto передовой, зрелой структурой сегодня? Во-первых, у нее есть сильная поддержка и широкое принятие. In-toto уже используется в производстве такими компаниями, как SolarWinds, и интегрирован в отраслевые стандарты, такие как OpenVEX и фреймворк SLSA от Google. Фактически, спецификация in-toto достигла версии 1.0 в 2023 году, что отражает консенсус сообщества относительно ее стабильности. Фреймворк также выиграл от поддержки крупных исследовательских агентств (включая NSF и DARPA), что обеспечивает постоянные инновации.
Учитывая рост числа атак на цепочки поставок программного обеспечения, момент для зрелости in-toto является идеальным. «Поскольку угрозы в цепочке поставок программного обеспечения становятся все более масштабными и сложными, in-toto позволяет организациям уверенно проверять свои рабочие процессы разработки, снижая риски, обеспечивая соответствие требованиям и, в конечном итоге, ускоряя безопасные инновации», сказал Крис Анищик, технический директор CNCF. Выпуск In-toto означает, что фреймворк проверен в бою и готов к премьере. Для руководителей служб информационной безопасности и DevSecOps это означает, что теперь есть проверенное и одобренное сообществом решение для внедрения принципов нулевого доверия в конвейер разработки. Следующий вопрос: как вы принимаете in-toto в вашей организации эффективно и без трения?
Беспроблемная реализация In-Toto с помощью ScribeHub и Valint
В то время как in-toto предоставляет план безопасности цепочки поставок, реализация его с нуля может быть сложной. Организациям необходимо будет инструментировать свои конвейеры CI/CD для генерации и проверки криптографических аттестаций на каждом этапе, управлять криптографическими ключами или использовать Sigstore, хранить все метаданные, определять правила политики и интегрировать шлюзы отказов — и все это без замедления разработчиков. лучшее решение для достижения этого без проблем использовать платформу, созданную для этой работы. Платформа ScribeHub от Scribe Security вместе с ее инструментом Valint предлагает простой способ внедрения принципов in-toto в ваш SDLC.
ScribeHub это комплексная платформа безопасности цепочки поставок программного обеспечения, которая автоматизирует проверки целостности и соответствия по всей фабрике программного обеспечения — от разработки до развертывания. Она использует безопасный по замыслу подход с нулевым доверием: автоматизация машиночитаемых аттестаций и применяя ворота «ограждения-как-код» по всему конвейеру. По сути, ScribeHub интегрируется с вашими инструментами разработки и облачной средой для непрерывной записи свидетельств того, что происходит в каждой сборке, и для применять политики безопасности без ручного вмешательства. Важно отметить, что подход Scribe построен на минимизировать трения с командами разработчиков. Закладывая безопасность в конвейер (вместо добавления дополнительных проверок или дополнительных шагов для разработчиков), ScribeHub обеспечивает безопасность непрерывна и прозрачнаРазработчики могут сохранять быстрый и гибкий темп, в то время как Scribe работает за кулисами, выявляя аномалии и гарантируя надежность каждого релиза.
В основе всего этого лежит Валинт – Инструмент проверки целостности Scribe Security. Valint — это мощный интерфейс командной строки и механизм политик, который предоставляет организациям возможность применять политики безопасности. «используя простую концепцию подписания и проверки данных». По факту, Валинт стенды для Проверка + Целостность, и он генерирует и проверяет криптографические доказательства, необходимые для подтверждения целостности вашего программного обеспечения. Он может создавать и проверять подтверждения (цифровые доказательства) для всех видов программных артефактов: каталогов исходного кода, отдельных файлов, образов контейнеров, даже целых репозиториев Git. Вы можете запустить Valint как автономный CLI в вашем конвейере CI или использовать его как часть интегрированной службы ScribeHub. В любом случае, он реализует основную идею in-toto – подписанных проверяемых метаданных цепочки поставок – на практике в удобной форме.
Под капотом, Valint использует лучшие современные технологии безопасности цепочки поставок. Последняя версия Valint основана на таких фреймворках, как SLSA для происхождения, OPA для обеспечения соблюдения политики, Sigstore для подписи без ключа, и использует реестры OCI для хранения аттестаций. Другими словами, Scribe собрал арсенал открытых стандартов, чтобы гарантировать, что аттестации и проверки в вашем конвейере надежны и совместимы. Например, платформа Scribe может автоматически выполнять непрерывное подписание кода и отслеживание происхождения с использованием аттестаций in-toto – все это помогает пресекать попытки взлома прежде чем они повлияют на ваше программное обеспечение.
Так как же это работает в реальном конвейере CI/CD? ScribeHub напрямую интегрируется с вашей системой сборки (будь то Jenkins, GitHub Actions, GitLab и т. д.) для получать подписанные, проверяемые компьютером подтверждения на каждом этапе разработки. С того момента, как разработчик фиксирует код, инструмент Valint от Scribe может записать подписанное заявление об этом фиксации. По мере того, как код проходит этапы сборки, тестирования и развертывания, каждый шаг генерирует свою собственную аттестацию (например, «Сборка завершена с этими входными данными, создание этого артефакта, в это время, этим процессом, подписано ключом X»). Эти подтверждения хранятся в защищенном от несанкционированного доступа виде (например, в реестре артефактов OCI или в хранилище доказательств Scribe) для последующего аудита. Что еще более важно, они немедленно проверено против ваших политик безопасности. ScribeHub позволяет группам безопасности определять политики (как код), которые описывают ожидаемые условия трубопровода, например, «Все артефакты должны быть подписаны нашей службой сборки», or «Ни один контейнер не может быть развернут, если он содержит критические уязвимости, которые, как общеизвестно, могут быть использованы (KEV)». Эти политики применяются в настоящее время. При генерации каждой аттестации или SBOM, Valint проверяет его, а механизм политик ScribeHub (на основе OPA) проверяет для соблюдения.
Если все выглядит хорошо, конвейер работает без сбоев. Если обнаружено нарушение, ScribeHub может «заблокировать» выпуск, остановив трубопровод или обозначив проблему для проверки. Например, если ожидаемая подпись или аттестация сборки отсутствует, или если хэш-функция артефакта не соответствует тому, что должно быть, Scribe это отследит до того, как эта сборка будет повышена. Эти автоматизированные ограждения действуют как ворота качества: отсутствующее или неправильное подтверждение рассматривается как проваленная проверка, поэтому рискованная конструкция никогда не доходит до производства. На практике это может означать неудачное задание сборки с четким сообщением об ошибке или автоматически созданный тикет JIRA для команды безопасности, в зависимости от того, как вы настроите ответ. Такой подход гарантирует, что Политика цепочки поставок программного обеспечения автоматически реализуется с помощью кода, а не путем ручных проверок постфактум. Как выразился генеральный директор Scribe, «Нельзя полагаться на то, что люди будут помнить правила, когда они отправляют по 10 сборок в день… Правила должны быть встроены в процесс и соблюдаться конвейером».
Благодаря интеграции аттестаций и автоматизированных проверок политик In-Toto, ScribeHub по сути предоставляет иммунная система для вашего SDLC. Он проверяет целостность и происхождение каждого компонента, и он блокирует любые нарушения, которые могут привести к компрометации цепочки поставок программного обеспечения. Например, если вредоносное ПО каким-то образом проникло в зависимость или учетные данные разработчика были перехвачены для подписания вредоносной сборки, ненормальное доказательство (или отсутствие ожидаемого доказательства) активирует элементы управления Scribe, останавливая выпуск и оповещая вашу команду. Это дает CISO, руководителям по безопасности продуктов и специалистам DevSecOps спокойствие, что Развертывается только проверенный, безопасный код, без необходимости лично проверять каждое изменение. И благодаря автоматизации и интеграции все это происходит с минимальным торможением скорости разработки – безопасность встроена, но не мешает.
Готовы ли вы увидеть настоящую безопасность продукта в действии?
Выпуск In-toto и появление таких инструментов, как ScribeHub, сигнализируют о том, что реальная безопасность продукта – вид, который обеспечивает целостность цепочки поставок от начала до конца – это уже не далекий идеал, а достижимая цель сегодня. Дальновидные CISO, руководители по безопасности продуктов и специалисты DevSecOps уже используют эти решения для защиты своих организаций и соответствия новым правилам. Если вы заинтересованы в укреплении своей фабрики программного обеспечения без нагромождения трений разработчиков, мы приглашаем вас обратиться в Scribe Security для демонстрации. Убедитесь сами, как принципы in-toto, реализованные с помощью ScribeHub и Valint, могут превратить ваш SDLC в защищенный от несанкционированного доступа, прозрачный и соответствующий требованиям процесс. Свяжитесь с нами, чтобы изучить живую демонстрацию и сделайте следующий шаг к действительно безопасной и надежной цепочке поставок программного обеспечения. Ваши разработчики могут продолжать инновации на полной скорости – и вы будете спать спокойнее, зная, что каждая сборка защищена передовыми технологиями безопасности цепочки поставок. Мы бы с удовольствием покажу вам, как это работает!
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
