याची घोषणा करण्यात आली अद्यतन फ्रेमवर्कच्या नवीन आवृत्ती 1.0 चे प्रकाशन, TUF म्हणून अधिक ओळखले जाते आणि जे एक फ्रेमवर्क म्हणून वैशिष्ट्यीकृत आहे जे अद्यतने सुरक्षितपणे तपासण्याचे आणि डाउनलोड करण्याचे साधन प्रदान करते.
क्लायंटला ठराविक हल्ल्यांपासून वाचवणे हा प्रकल्पाचा मुख्य उद्देश आहे डिजीटल स्वाक्षरी व्युत्पन्न करण्यासाठी किंवा भांडाराशी तडजोड करण्यासाठी की मध्ये प्रवेश मिळवल्यानंतर तयार केलेल्या आक्रमणकर्त्यांद्वारे बनावट अद्यतनांच्या जाहिरातीचा प्रतिकार करण्यासह, भांडार आणि पायाभूत सुविधांसाठी.
TUF बद्दल
प्रकल्प अनेक लायब्ररी, फाइल स्वरूप आणि उपयुक्तता विकसित करते सॉफ्टवेअर डेव्हलपर्सद्वारे मुख्य तडजोड झाल्यास संरक्षण प्रदान करून, विद्यमान ऍप्लिकेशन अपडेट सिस्टममध्ये सहजपणे एकत्रित केले जाऊ शकते. TUF वापरण्यासाठी, फक्त आवश्यक मेटाडेटा रिपॉजिटरीमध्ये जोडा आणि क्लायंट कोडमध्ये फाइल अपलोड आणि सत्यापित करण्यासाठी TUF मध्ये प्रदान केलेल्या प्रक्रिया एम्बेड करा.
TUF फ्रेमवर्क अपडेट तपासण्याचे, डाउनलोड करण्याचे काम हाती घेतेअद्ययावत करणे आणि त्याची अखंडता तपासा. अपडेट इन्स्टॉलेशन सिस्टम अतिरिक्त मेटाडेटाला थेट छेदत नाही, जे TUF द्वारे सत्यापित आणि अपलोड केले जाते.
ऍप्लिकेशन्ससह एकत्रीकरण आणि इन्स्टॉलेशन सिस्टम अपडेट करण्यासाठी, मेटाडेटा ऍक्सेस करण्यासाठी निम्न-स्तरीय API आणि उच्च-स्तरीय क्लायंट API ngclient च्या अंमलबजावणीसाठी, ऍप्लिकेशन एकत्रीकरणासाठी सज्ज, प्रदान केले आहे.
TUF काउंटर करू शकणार्या हल्ल्यांपैकी आहेत आवृत्ती प्रतिस्थापन सॉफ्टवेअरमधील भेद्यतेचे निराकरण अवरोधित करण्यासाठी किंवा वापरकर्त्याला मागील असुरक्षित आवृत्तीवर परत आणण्यासाठी अद्यतनांच्या वेषात, तसेच दुर्भावनापूर्ण अद्यतनांची जाहिरात तडजोड केलेली की वापरून योग्यरित्या स्वाक्षरी केली, क्लायंटवर DoS हल्ले करणे, जसे की अंतहीन अद्यतनासह डिस्क भरणे.
पायाभूत सुविधांच्या तडजोडीपासून संरक्षण सॉफ्टवेअर विक्रेत्याचे रेपॉजिटरी किंवा ऍप्लिकेशनच्या स्थितीचे वेगळे सत्यापित करण्यायोग्य रेकॉर्ड राखून साध्य केले जाते.
अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना TUF-सत्यापित मेटाडेटामध्ये मुख्य माहिती समाविष्ट असते ज्यावर विश्वास ठेवला जाऊ शकतो, फाइल अखंडतेचे मूल्यांकन करण्यासाठी क्रिप्टोग्राफिक हॅश, मेटाडेटा सत्यापित करण्यासाठी अतिरिक्त डिजिटल स्वाक्षरी, आवृत्ती क्रमांक माहिती आणि आजीवन माहिती रेकॉर्ड करणे. पडताळणीसाठी वापरल्या जाणार्या कळा मर्यादित कालावधीसाठी असतात आणि जुन्या की सह स्वाक्षरी करण्यापासून संरक्षण करण्यासाठी सतत अपडेट करणे आवश्यक असते.
संपूर्ण प्रणालीशी तडजोड करण्याचा धोका कमी करणे हे स्प्लिट ट्रस्ट मॉडेलच्या वापराद्वारे साध्य केले जाते, ज्यामध्ये प्रत्येक पक्ष केवळ त्या क्षेत्रापुरता मर्यादित असतो ज्यासाठी तो थेट जबाबदार असतो.
प्रणाली त्यांच्या स्वत: च्या की सह भूमिकांची श्रेणीक्रम वापरते, उदाहरणार्थ, मूळ भूमिका रेपॉजिटरीमधील मेटाडेटासाठी जबाबदार भूमिकांसाठी की चिन्हांकित करते, अद्यतने तयार होण्याच्या वेळेबद्दलचा डेटा आणि लक्ष्य बिल्ड, या बदल्यात, बिल्डसाठी जबाबदार भूमिका प्रमाणीकरणाशी संबंधित भूमिकांवर चिन्हांकित करते. फायली वितरित केल्या.
मुख्य तडजोडीपासून संरक्षण करण्यासाठी, जलद की रद्द करण्यासाठी आणि बदलण्यासाठी यंत्रणा वापरते. प्रत्येक वैयक्तिक की फक्त किमान आवश्यक शक्ती केंद्रित करते आणि नोटरीकरण ऑपरेशन्ससाठी अनेक की वापरणे आवश्यक आहे (एकाच की गळतीमुळे क्लायंटवर त्वरित हल्ला होऊ देत नाही आणि संपूर्ण सिस्टमशी तडजोड करण्यासाठी, की कॅप्चर करणे आवश्यक आहे. सर्व सहभागी).
क्लायंट फक्त पूर्वी प्राप्त झालेल्या फायलींपेक्षा नंतर तयार केलेल्या फायली स्वीकारू शकतो आणि डेटा केवळ प्रमाणित मेटाडेटामध्ये निर्दिष्ट केलेल्या आकारानुसार डाउनलोड केला जातो.
ची प्रकाशित आवृत्ती TUF 1.0.0 पूर्णपणे पुनर्लिखित संदर्भ अंमलबजावणी ऑफर करते आणि TUF स्पेसिफिकेशनची स्थिर आवृत्ती जी तुम्ही तुमची स्वतःची अंमलबजावणी तयार करताना किंवा तुमच्या प्रोजेक्टमध्ये समाकलित करताना आउट-ऑफ-द-बॉक्स उदाहरण म्हणून वापरू शकता.
नवीन अंमलबजावणी लक्षणीयपणे कमी कोड समाविष्टीत आहे (1400 ऐवजी 4700 ओळी), ते राखणे सोपे आहे आणि ते सहजपणे वाढवले जाऊ शकते, उदाहरणार्थ, जर तुम्हाला विशिष्ट नेटवर्क स्टॅक, स्टोरेज सिस्टम किंवा एन्क्रिप्शन अल्गोरिदमसाठी समर्थन जोडण्याची आवश्यकता असेल.
लिनक्स फाऊंडेशनच्या मदतीने हा प्रकल्प विकसित करण्यात आला आहे आणि डॉकर, फुशिया, ऑटोमोटिव्ह ग्रेड लिनक्स, बॉटलरॉकेट आणि PyPI (PyPI मध्ये डाउनलोड पडताळणी आणि मेटाडेटा लवकरच समाविष्ट करणे अपेक्षित आहे) सारख्या प्रकल्पांमध्ये अद्यतन वितरणाची सुरक्षा सुधारण्यासाठी वापरली जाते.
शेवटी, जर तुम्हाला याबद्दल थोडे अधिक जाणून घेण्यात स्वारस्य असेल, तर तुम्ही तपशीलांचा सल्ला घेऊ शकता पुढील लिंकवर