3月11日,CNCF 发文表示:CNCF 技术监督委员会(TOC)已投票接受 in-toto 作为 CNCF 的孵化项目。
据了解,in-toto 是一个通过收集和验证相关数据来保护软件供应链的框架。它通过使库能够收集关于软件供应链行为的信息,并允许软件消费者和项目经理发布关于软件供应链实践的政策来做到这一点,这些政策可以在部署或安装软件之前进行验证。简而言之,它有助于捕获软件供应链中发生的事情,并确保它按照定义的策略发生。
2015 年,纽约大学坦顿工程学院的安全系统实验室创建了in-toto 。截止到目前,in-toto 已经拥有超过 500 颗 GitHub 星星,700 个拉请求,194 个问题,45 位贡献者,32 个版本。
目前,in-toto 已被多家组织采用,包括Datadog、谷歌 Grafeas、Kubesecio.io、rebuilderd、SolarWinds、Sigstore 的Cosign等等。其实,Datadog 使用它来保护流水线,SolarWinds 使用它来避免未来像 2019 年 SUNBURST 黑客那样的危害;rebuilderd 等项目会产生完全认证,以允许密码可验证的构建可再现性检查;cosign 使用 in-toto 作为底层技术来验证各种供应链行为。
未来,in-toto团队将专注于新特性的开发,例如在证据收集过程中支持表达型跟踪,更好地支持 SLSA 认证处理,更简单的策略语言,以及“最佳供应链实践”政策的集合。
