તેની જાહેરાત કરવામાં આવી હતી અપડેટ ફ્રેમવર્કના નવા સંસ્કરણ 1.0 નું પ્રકાશન, TUF તરીકે વધુ સારી રીતે ઓળખાય છે અને જે એક ફ્રેમવર્ક તરીકે ઓળખાય છે જે અપડેટ્સને સુરક્ષિત રીતે તપાસવા અને ડાઉનલોડ કરવા માટેનું માધ્યમ પ્રદાન કરે છે.
પ્રોજેક્ટનો મુખ્ય ઉદ્દેશ ક્લાયંટને લાક્ષણિક હુમલાઓથી બચાવવાનો છે રિપોઝીટરીઝ અને ઇન્ફ્રાસ્ટ્રક્ચર માટે, જેમાં ડિજિટલ સિગ્નેચર જનરેટ કરવા અથવા રિપોઝીટરી સાથે સમાધાન કરવા માટે કીની ઍક્સેસ મેળવ્યા પછી બનાવેલા હુમલાખોરો દ્વારા બનાવટી અપડેટ્સના પ્રચારનો સામનો કરવા સહિત.
TUF વિશે
આ પ્રોજેક્ટ સંખ્યાબંધ પુસ્તકાલયો, ફાઇલ ફોર્મેટ અને ઉપયોગિતાઓ વિકસાવે છે જે હાલની એપ્લિકેશન અપડેટ સિસ્ટમ્સમાં સરળતાથી સંકલિત કરી શકાય છે, જે સોફ્ટવેર ડેવલપર્સ દ્વારા મુખ્ય સમાધાનની સ્થિતિમાં સુરક્ષા પ્રદાન કરે છે. TUF નો ઉપયોગ કરવા માટે, ફક્ત રીપોઝીટરીમાં જરૂરી મેટાડેટા ઉમેરો અને ક્લાયંટ કોડમાં ફાઇલોને અપલોડ કરવા અને ચકાસવા માટે TUF માં પૂરી પાડવામાં આવેલ પ્રક્રિયાઓને એમ્બેડ કરો.
TUF ફ્રેમવર્ક અપડેટ માટે તપાસવાનું, ડાઉનલોડ કરવાનું કાર્ય સંભાળે છેઅપડેટ કરવા અને તેની પ્રામાણિકતા ચકાસો. અપડેટ ઇન્સ્ટોલેશન સિસ્ટમ સીધા વધારાના મેટાડેટા સાથે છેદતી નથી, જે TUF દ્વારા ચકાસાયેલ અને અપલોડ કરવામાં આવે છે.
એપ્લિકેશન્સ અને અપડેટ ઇન્સ્ટોલેશન સિસ્ટમ્સ સાથે એકીકરણ માટે, મેટાડેટાને ઍક્સેસ કરવા અને ઉચ્ચ-સ્તરના ક્લાયંટ API ngclientના અમલીકરણ માટે, એપ્લિકેશન એકીકરણ માટે તૈયાર, નિમ્ન-સ્તરની API પ્રદાન કરવામાં આવે છે.
ટીયુએફનો સામનો કરી શકે તેવા હુમલાઓમાં છે સંસ્કરણ અવેજી અપડેટ્સની આડમાં સૉફ્ટવેરમાં નબળાઈઓના સુધારાને અવરોધિત કરવા અથવા વપરાશકર્તાને પાછલા નબળા સંસ્કરણ પર પાછા ફરવા માટે, તેમજ દૂષિત અપડેટ્સનો પ્રચાર ક્લાઈન્ટો પર DoS હુમલાઓ કરવા, જેમ કે ડિસ્કને અનંત અપડેટ સાથે ભરવા જેવી ચેડા કીનો ઉપયોગ કરીને યોગ્ય રીતે હસ્તાક્ષર કર્યા.
ઇન્ફ્રાસ્ટ્રક્ચર સાથેના સમાધાન સામે રક્ષણ રિપોઝીટરી અથવા એપ્લિકેશનની સ્થિતિના અલગ ચકાસી શકાય તેવા રેકોર્ડ જાળવવા દ્વારા સોફ્ટવેર વિક્રેતા પ્રાપ્ત થાય છે.
આ TUF-ચકાસાયેલ મેટાડેટામાં મુખ્ય માહિતીનો સમાવેશ થાય છે જેના પર વિશ્વાસ કરી શકાય, ફાઇલની અખંડિતતાનું મૂલ્યાંકન કરવા માટે ક્રિપ્ટોગ્રાફિક હેશ, મેટાડેટા ચકાસવા માટે વધારાના ડિજિટલ હસ્તાક્ષર, સંસ્કરણ નંબર માહિતી અને આજીવન માહિતી રેકોર્ડ કરી શકાય છે. ચકાસણી માટે ઉપયોગમાં લેવાતી કીની આયુષ્ય મર્યાદિત હોય છે અને જૂની કી વડે હસ્તાક્ષર કરવા સામે રક્ષણ આપવા માટે તેને સતત અપડેટ કરવાની જરૂર પડે છે.
સમગ્ર સિસ્ટમ સાથે ચેડા કરવાના જોખમને ઘટાડવું એ સ્પ્લિટ ટ્રસ્ટ મોડલના ઉપયોગ દ્વારા પ્રાપ્ત થાય છે, જેમાં દરેક પક્ષ ફક્ત તે વિસ્તાર પૂરતો મર્યાદિત હોય છે જેના માટે તે સીધી રીતે જવાબદાર હોય છે.
સિસ્ટમ તેમની પોતાની કી સાથે ભૂમિકાઓના વંશવેલોનો ઉપયોગ કરે છે, ઉદાહરણ તરીકે, રુટ રોલ રીપોઝીટરીમાં મેટાડેટા માટે જવાબદાર ભૂમિકાઓ માટેની ચાવીઓ પર સહી કરે છે, અપડેટ્સના નિર્માણના સમય અને લક્ષ્ય બિલ્ડ્સ વિશેનો ડેટા, બદલામાં, બિલ્ડ્સ માટે જવાબદાર ભૂમિકા પ્રમાણપત્ર સાથે સંકળાયેલી ભૂમિકાઓને સંકેત આપે છે. વિતરિત ફાઇલો.
મુખ્ય સમાધાન સામે રક્ષણ આપવા માટે, ઝડપી કી રદબાતલ અને રિપ્લેસમેન્ટ માટે મિકેનિઝમનો ઉપયોગ કરે છે. દરેક વ્યક્તિગત કી માત્ર ન્યૂનતમ જરૂરી શક્તિઓને કેન્દ્રિત કરે છે, અને નોટરાઇઝેશન કામગીરી માટે ઘણી કીનો ઉપયોગ કરવાની જરૂર પડે છે (એક કીની લીકેજ ક્લાયંટ પર તાત્કાલિક હુમલો કરવાની મંજૂરી આપતી નથી, અને સમગ્ર સિસ્ટમ સાથે સમાધાન કરવા માટે, તેની ચાવીઓ કેપ્ચર કરવી જરૂરી છે. બધા સહભાગીઓ).
ક્લાયંટ અગાઉ પ્રાપ્ત કરેલી ફાઇલો કરતાં પાછળથી બનાવેલી ફાઇલોને જ સ્વીકારી શકે છે, અને પ્રમાણિત મેટાડેટામાં ઉલ્લેખિત કદ અનુસાર જ ડેટા ડાઉનલોડ થાય છે.
ની પ્રકાશિત આવૃત્તિ TUF 1.0.0 સંપૂર્ણપણે પુનઃલેખિત સંદર્ભ અમલીકરણ ઓફર કરે છે અને TUF સ્પષ્ટીકરણનું સ્થિર સંસ્કરણ કે જે તમે તમારા પોતાના અમલીકરણો બનાવતી વખતે અથવા તમારા પ્રોજેક્ટ્સમાં એકીકૃત કરતી વખતે આઉટ-ઓફ-ધ-બોક્સ ઉદાહરણ તરીકે ઉપયોગ કરી શકો છો.
નવી અમલીકરણ નોંધપાત્ર રીતે ઓછા કોડ સમાવે છે (1400 ને બદલે 4700 લીટીઓ), તે જાળવવામાં સરળ છે અને સરળતાથી વિસ્તૃત કરી શકાય છે, ઉદાહરણ તરીકે, જો તમારે ચોક્કસ નેટવર્ક સ્ટેક્સ, સ્ટોરેજ સિસ્ટમ્સ અથવા એન્ક્રિપ્શન અલ્ગોરિધમ્સ માટે સપોર્ટ ઉમેરવાની જરૂર હોય.
આ પ્રોજેક્ટ Linux ફાઉન્ડેશનના આશ્રય હેઠળ વિકસાવવામાં આવ્યો છે અને તેનો ઉપયોગ Docker, Fuchsia, Automotive Grade Linux, Bottlerocket અને PyPI (PyPI માં ડાઉનલોડ વેરિફિકેશન અને મેટાડેટાનો સમાવેશ ટૂંક સમયમાં અપેક્ષિત છે) જેવા પ્રોજેક્ટ્સમાં અપડેટ ડિલિવરીની સુરક્ષાને સુધારવા માટે થાય છે.
છેલ્લે, જો તમને તેના વિશે થોડું વધુ જાણવામાં રસ હોય, તો તમે વિગતોનો સંપર્ક કરી શકો છો નીચેની કડીમાં