Open source-system, der sikrer softwareopdateringer, der er uddannet for at beskytte førende cloud-tjenester

Update Framework (TUF), en open source-teknologi, der sikrer softwareopdateringssystemer, er blevet det første specifikationsprojekt, der er uddannet fra Linux Foundations Cloud Native Computing Foundation (CNCF). En specifikation - almindelige eksempler på disse er HTML og HTTP - giver forskellige implementere mulighed for at skabe kernefunktionalitet i en fælles, præcist defineret måde at løse en opgave på. Justin Cappos, leder af TUF-projektet og lektor i datalogi og teknik ved NYU Tandon School of Engineering, er også den første akademiske forsker til at lede et projekt, der er uddannet fra CNCF.

Denne milepæl betyder, at TUF har opnået det højeste niveau af modenhed i CNCF-økosystemet, som fremmer udviklingen og adoptionen af ​​open source cloud-teknologier. TUF er blevet industristandarden for sikring af softwareopdateringssystemer, og bruges nu af de førende udbydere af cloud-baserede tjenester, inklusive Amazon – som for nylig udgav en tilpasset open source-version af TUF – Microsoft, Google, Cloudflare, Datahund, DigitalOcean, Docker, IBM, Rød hat, VMware, og mange andre.

Denne seneste præstation er kulminationen på et årtiers arbejde for Cappos og et team af bidragsydere, der udviklede TUF til at imødegå det cyberkriminelles hyppige kompromis i softwarelager. Softwareopdateringer har længe været hovedmål for hackere, og truslen fra sådanne angreb er vokset, efterhånden som internetforbundne enheder har bevæget sig ud over computere og smartphones til at omfatte medicinsk udstyr, biler, og mange andre enheder. TUF forsvarer sig mod en bred vifte af angreb, beskyttelse af slutbrugere mod skadelig software, selv i scenarier, hvor angribere har kompromitteret et lager eller signeringsnøgle. TUF er designet til at være fleksibel, lette dets vedtagelse i ethvert softwareopdateringssystem.

"TUF er designet, så en organisation ikke behøver at være perfekt i deres driftssikkerhed, "sagde Cappos." Hvis et firma ved et uheld offentliggør en signeringsnøgle, har en hackerbrud i deres softwarelager, eller hvis en utilfreds medarbejder bliver useriøs, den skade, de kan forårsage, er begrænset. Forsvar i dybden er nøglen til sikkerhed, og sikkerheden af ​​softwareopdateringsinfrastrukturen er blandt de mest kritiske bekymringer i praksis."

TUF, hvis udvikling blev støttet af National Science Foundation og US Department of Homeland Security, blev udvalgt som et projekt inden for CNCF i 2017. Samme år Cappos, sammen med et team af forskere fra University of Michigan Transportation Research Institute og Southwest Research Institute udviklede Uptane, bilapplikationen af ​​TUF. Uptane er blevet bredt brugt af bilproducenter - ifølge fremskrivninger, omkring en tredjedel af 2023-modelbilerne på USA's veje vil bruge Uptane.

Større bidragydere til TUF inden for NYU Tandon inkluderer doktorgraduat Trishank Karthik Kuppusamy, nu ledende sikkerhedsløsningsingeniør hos Datadog; nuværende ph.d.-studerende Santiago Torres og Marina Moore; og udvikler Lukas Puehringer, sammen med tidligere udviklere Sebastien Awwad (nu hos Conda) og Vladimir Diaz, der deltog som en del af Cappos' Secure Systems Lab. Teamet anerkender også den brede vifte af bidrag til TUF fra mange organisationer, herunder Docker, Tor, og Python, samt deltagere på tværs af CNCF -landskabet og bilindustrien.

"Vi bevæger os ind i et nyt årti, hvor open source-software er gennemgående og opdateres problemfrit i hele vores liv gennem mange enheder, " sagde Chris Aniszczyk, CTO/COO for Cloud Native Computing Foundation. "Vi er glade for at se TUF sikre en vigtig del af softwareforsyningskæden og ser frem til at fortsætte med at opretholde deres samfund i CNCF."

Sidste måned, en anden teknologi co-udviklet af Cappos og Torres kom ind i CNCF Sandbox. In-toto er et gratis open source-system, der kryptografisk sikrer integriteten af ​​softwareforsyningskæden, giver en hidtil uset grad af sikkerhed mod angreb.