Rangka Kerja Kemas Kini, satu cara untuk menyemak dan memuat turun kemas kini dengan selamat

Darkcrizt

Minit 4

Ia telah diumumkan keluaran versi baharu 1.0 Rangka Kerja Kemas Kini, lebih dikenali sebagai TUF dan yang dicirikan sebagai rangka kerja yang menyediakan cara untuk menyemak dan memuat turun kemas kini dengan selamat.

Objektif utama projek ini adalah untuk melindungi pelanggan daripada serangan biasa kepada repositori dan infrastruktur, termasuk menentang promosi kemas kini palsu oleh penyerang yang dibuat selepas mendapat akses kepada kunci untuk menjana tandatangan digital atau menjejaskan repositori.

Mengenai TUF

Projek itu membangunkan beberapa perpustakaan, format fail dan utiliti yang boleh disepadukan dengan mudah ke dalam sistem kemas kini aplikasi sedia ada, memberikan perlindungan sekiranya berlaku kompromi utama oleh pembangun perisian. Untuk menggunakan TUF, cukup untuk menambah metadata yang diperlukan pada repositori dan menyepadukan prosedur yang disediakan dalam TUF untuk memuatkan dan mengesahkan fail dalam kod klien.

Rangka kerja TUF mengambil alih tugas menyemak kemas kini, memuat turun failuntuk mengemas kini dan mengesahkan integritinya. Sistem pemasangan kemas kini tidak langsung bersilang dengan metadata tambahan, yang disahkan dan dimuat naik oleh TUF.

Untuk penyepaduan dengan aplikasi dan sistem pemasangan kemas kini, API peringkat rendah untuk mengakses metadata dan pelaksanaan klien API pelanggan peringkat tinggi, sedia untuk penyepaduan aplikasi, disediakan.

Antara serangan yang TUF boleh lawan adalah penggantian versi bertopengkan kemas kini untuk menyekat pembetulan kepada kelemahan dalam perisian atau mengembalikan pengguna kepada versi terdedah sebelumnya, serta promosi kemas kini berniat jahat ditandatangani dengan betul menggunakan kunci yang terjejas, melakukan serangan DoS ke atas pelanggan, seperti mengisi cakera dengan kemas kini yang tidak berkesudahan.

Perlindungan terhadap kompromi infrastruktur vendor perisian dicapai dengan mengekalkan rekod berasingan yang boleh disahkan bagi keadaan repositori atau aplikasi.

The Metadata yang disahkan TUF termasuk maklumat penting yang boleh dipercayai, cincangan kriptografi untuk menilai integriti fail, tandatangan digital tambahan untuk mengesahkan metadata, maklumat nombor versi dan merekodkan maklumat seumur hidup. Kekunci yang digunakan untuk pengesahan mempunyai jangka hayat yang terhad dan memerlukan pengemaskinian berterusan untuk melindungi daripada menandatangani dengan kunci lama.

Mengurangkan risiko menjejaskan keseluruhan sistem dicapai melalui penggunaan model amanah berpecah, di mana setiap pihak hanya terhad kepada kawasan yang ia bertanggungjawab secara langsung.

Sistem ini menggunakan hierarki peranan dengan kunci mereka sendiri, contohnya, peranan akar menandatangani kunci untuk peranan yang bertanggungjawab untuk metadata dalam repositori, data tentang masa pembentukan kemas kini dan binaan sasaran, seterusnya, peranan yang bertanggungjawab untuk binaan menandakan peranan yang berkaitan dengan pensijilan fail yang dihantar .

Untuk melindungi daripada kompromi utama, menggunakan mekanisme untuk pembatalan dan penggantian kunci yang cepat. Setiap kunci individu hanya menumpukan kuasa minimum yang diperlukan, dan operasi notari memerlukan penggunaan beberapa kekunci (kebocoran satu kunci tidak membenarkan serangan segera ke atas pelanggan, dan untuk menjejaskan keseluruhan sistem, adalah perlu untuk menangkap kunci semua Peserta).

Pelanggan hanya boleh menerima fail yang dibuat lewat daripada fail yang diterima sebelum ini, dan data dimuat turun hanya mengikut saiz yang dinyatakan dalam metadata yang diperakui.

Versi diterbitkan bagi TUF 1.0.0 menawarkan pelaksanaan rujukan yang ditulis semula sepenuhnya dan versi stabil spesifikasi TUF yang boleh anda gunakan sebagai contoh luar biasa apabila membuat pelaksanaan anda sendiri atau menyepadukan ke dalam projek anda.

Pelaksanaan baru mengandungi kod yang jauh lebih sedikit (1400 baris dan bukannya 4700), ia lebih mudah untuk diselenggara dan boleh dilanjutkan dengan mudah, contohnya, jika anda perlu menambah sokongan untuk susunan rangkaian tertentu, sistem storan atau algoritma penyulitan.

Projek ini dibangunkan di bawah naungan Yayasan Linux dan digunakan untuk meningkatkan keselamatan penghantaran kemas kini dalam projek seperti Docker, Fuchsia, Automotive Gred Linux, Bottlerocket dan PyPI (kemasukan pengesahan muat turun dan metadata dalam PyPI dijangka tidak lama lagi).

Akhir sekali, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh merujuk butirannya Dalam pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.