TUF 1.0-ın buraxılışı (Yeniləmə Çərçivəsi) nəşr olundu, yeniləmələri təhlükəsiz şəkildə yoxlamaq və yükləmək üçün alətlər təqdim edir. Layihənin əsas məqsədi müştərini repozitoriyalara və infrastruktura tipik hücumlardan qorumaq, o cümlədən rəqəmsal imzaların yaradılması üçün açarlara çıxış əldə etdikdən və ya repozitoriyaya təhlükə yaradan saxta yeniləmələrin hücumçularının təşviqinə qarşı çıxmaqdır. Layihə Linux Fondunun himayəsi altında hazırlanıb və Docker, Fuchsia, Automotive Grade Linux, Bottlerocket və PyPI kimi layihələrdə yeniləmələrin çatdırılmasının təhlükəsizliyini yaxşılaşdırmaq üçün istifadə olunur (PyPI-də yükləmə yoxlaması və metaməlumatların daxil edilməsi gözlənilir. Yaxın gələcəkdə). TUF arayış tətbiq kodu Python-da yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır.
Layihə proqram təminatı tərtibatçılarının tərəfində əsas kompromis halında müdafiəni təmin edən mövcud proqram yeniləmə sistemlərinə asanlıqla inteqrasiya oluna bilən bir sıra kitabxanalar, fayl formatları və kommunal proqramlar hazırlayır. TUF-dən istifadə etmək üçün depoya lazımi metaməlumatları əlavə etmək və faylları yükləmək və yoxlamaq üçün TUF-də təqdim olunan prosedurları müştəri koduna inteqrasiya etmək kifayətdir.
TUF çərçivəsi yeniləməni yoxlamaq, yeniləməni yükləmək və onun bütövlüyünü yoxlamaq vəzifələrini üzərinə götürür. Yeniləmə quraşdırma sistemi, yoxlanılması və yüklənməsi TUF tərəfindən həyata keçirilən əlavə metadatalara birbaşa müdaxilə etmir. Tətbiqlərlə inteqrasiya və yeniləmə quraşdırma sistemləri üçün metaməlumatlara daxil olmaq üçün aşağı səviyyəli API və proqramlarla inteqrasiyaya hazır olan yüksək səviyyəli müştəri API ngclientinin tətbiqi təklif olunur.
TUF-in qarşısına çıxa biləcəyi hücumlar arasında proqram təminatının zəifliklərinin korreksiyasını və ya istifadəçinin köhnə həssas versiyaya geri qaytarılmasını maneə törətmək üçün yeniləmələr adı altında köhnə buraxılışların dəyişdirilməsi, eləcə də təhlükəsi olan proqramdan istifadə edərək düzgün imzalanmış zərərli yeniləmələrin təşviqi daxildir. açarı, müştərilərə DoS hücumları, məsələn, diski sonsuz yeniləmələrlə doldurmaq.
Proqram təminatı provayderinin infrastrukturunun kompromislərinə qarşı qorunma depo və ya tətbiqin vəziyyətinin ayrıca, yoxlanıla bilən qeydlərini saxlamaqla əldə edilir. TUF tərəfindən yoxlanılan metaməlumatlara etibar edilə bilən açarlar haqqında məlumat, faylların bütövlüyünü qiymətləndirmək üçün kriptoqrafik heşlər, metadatanı yoxlamaq üçün əlavə rəqəmsal imzalar, versiya nömrələri haqqında məlumat və qeydlərin ömrü haqqında məlumat daxildir. Doğrulama üçün istifadə edilən açarların məhdud istifadə müddəti var və köhnə açarlar tərəfindən imza formalaşmasından qorunmaq üçün daimi yenilənmə tələb olunur.
Bütün sistemin kompromis riskinin azaldılması, hər bir tərəfin yalnız birbaşa cavabdeh olduğu sahə ilə məhdudlaşdığı ortaq etimad modelindən istifadə etməklə əldə edilir. Sistem öz açarları ilə rolların iyerarxiyasından istifadə edir, məsələn, kök rolu işarələri depodakı metadata üçün cavabdeh olan rollar üçün açarlar, yeniləmələrin yaradılması vaxtı haqqında məlumatlar və hədəf montajlar, öz növbəsində, montaj işarələri üçün məsul rol çatdırılan faylların sertifikatlaşdırılması ilə əlaqəli rollar.
Açar kompromislərindən qorunmaq üçün açarların operativ ləğvi və dəyişdirilməsi mexanizmi istifadə olunur. Hər bir fərdi açar yalnız minimum zəruri səlahiyyətləri ehtiva edir və autentifikasiya əməliyyatları bir neçə açarın istifadəsini tələb edir (bir açarın sızması müştəriyə dərhal hücuma imkan vermir və bütün sistemə güzəştə getmək üçün bütün iştirakçıların açarları olmalıdır. tutuldu). Müştəri yalnız əvvəllər qəbul edilmiş fayllardan daha yeni olan faylları qəbul edə bilər və məlumatlar yalnız sertifikatlaşdırılmış metadatada göstərilən ölçüyə uyğun olaraq endirilir.
TUF 1.0.0-ın nəşr edilmiş buraxılışı TUF spesifikasiyasının tamamilə yenidən yazılmış və sabitləşdirilmiş istinad tətbiqini təklif edir ki, siz öz tətbiqlərinizi yaratarkən və ya layihələrinizə inteqrasiya üçün hazır nümunə kimi istifadə edə bilərsiniz. Yeni tətbiqetmə əhəmiyyətli dərəcədə daha az kod ehtiva edir (1400 əvəzinə 4700 sətir), saxlanması daha asandır və asanlıqla genişləndirilə bilər, məsələn, xüsusi şəbəkə yığınları, saxlama sistemləri və ya şifrələmə alqoritmləri üçün dəstək əlavə etmək lazımdırsa.
Mənbə: opennet.ru