TUF 1.0 (The Update Framework) bertsioa argitaratu da, eguneraketak segurtasunez egiaztatzeko eta deskargatzeko tresnak eskainiz. Proiektuaren helburu nagusia bezeroa biltegien eta azpiegituren aurkako eraso tipikoetatik babestea da, sinadura digitalak sortzeko edo biltegia arriskuan jartzeko gakoetarako sarbidea lortu ondoren sortutako fikziozko eguneraketen erasotzaileen sustapenari aurre egitea barne. Proiektua Linux Fundazioaren babespean garatzen da eta eguneratzeak emateko segurtasuna hobetzeko erabiltzen da Docker, Fuchsia, Automotive Grade Linux, Bottlerocket eta PyPI bezalako proiektuetan (deskargaren egiaztapena eta metadatuak PyPIn sartzea espero da. etorkizun hurbila). TUF erreferentziaren ezarpen-kodea Python-en idatzita dago eta Apache 2.0 lizentziapean banatzen da.
Proiektua liburutegi, fitxategi formatu eta utilitate batzuk garatzen ari da, lehendik dauden aplikazioak eguneratzeko sistemetan erraz integra daitezkeenak, babesa eskainiz software-garatzaileen gako-konpromisoen kasuan. TUF erabiltzeko, nahikoa da biltegian beharrezko metadatuak gehitzea, eta fitxategiak deskargatzeko eta egiaztatzeko TUF-n emandako prozedurak bezeroaren kodean integratzea.
TUF esparruak eguneraketa bat egiaztatzea, eguneratzea deskargatzea eta bere osotasuna egiaztatzea bere gain hartzen ditu. Eguneratze-instalazio-sistemak ez ditu metadatu osagarriak zuzenean oztopatzen, horien egiaztapena eta kargatzea TUF-ek egiten baitu. Aplikazioekin eta eguneratze-instalazio-sistemekin integratzeko, metadatuak atzitzeko behe-mailako API bat eta goi-mailako bezeroaren API ngclient baten ezarpena eskaintzen dira, aplikazioekin integratzeko prest.
TUF-ek aurre egin ditzakeen erasoen artean, bertsio zaharren ordezkapena eguneratzeen itxurapean software ahulguneen zuzenketa blokeatzeko edo erabiltzailearen bertsio zaurgarri zahar batera itzultzea, baita arriskutsu baten bidez behar bezala sinatutako eguneratze maltzurren sustapena ere. gakoa, bezeroen aurkako DoS erasoak, esate baterako, diskoa eguneratze amaigabez betetzea.
Software hornitzailearen azpiegituraren arriskuaren aurkako babesa biltegiaren edo aplikazioaren egoeraren erregistro bereiziak eta egiaztagarriak mantenduz lortzen da. TUFek egiaztatutako metadatuek fidagarriak izan daitezkeen gakoei buruzko informazioa, fitxategien osotasuna ebaluatzeko hash kriptografikoak, metadatuak egiaztatzeko sinadura digital osagarriak, bertsio-zenbakiei buruzko informazioa eta erregistroen iraupenari buruzko informazioa biltzen dute. Egiaztatzeko erabiltzen diren gakoek bizitza-iraupen mugatua dute eta etengabe eguneratu behar dute gako zaharren bidez sinadura eratzetik babesteko.
Sistema osoaren konpromiso-arriskua murriztea konfiantza-eredu partekatu baten bitartez lortzen da, zeinean alderdi bakoitza bere ardura zuzeneko eremura soilik mugatzen den. Sistemak rolen hierarkia bat erabiltzen du bere gakoekin, adibidez, erroko rolak biltegiko metadatuez arduratzen diren rolen gakoak adierazten ditu, eguneratzeak sortzeko garaiari buruzko datuak eta xede-muntaiak, aldi berean, muntaien ardura duen rolaren seinaleak. entregatutako fitxategien ziurtapenarekin lotutako rolak.
Gakoen arriskutik babesteko, giltzak berehala baliogabetzeko eta ordezkatzeko mekanismo bat erabiltzen da. Gako indibidual bakoitzak beharrezko gutxieneko ahalmenak baino ez ditu, eta autentifikazio-eragiketek hainbat gako erabiltzea eskatzen dute (gako bakar baten ihesak ez du bezeroaren aurkako berehalako erasorik onartzen, eta sistema osoa arriskuan jartzeko, parte-hartzaile guztien gakoak izan behar dira. harrapatuta). Bezeroak aldez aurretik jasotako fitxategiak baino berriagoak diren fitxategiak soilik onartu ditzake, eta datuak ziurtatutako metadatuetan zehaztutako tamainaren arabera soilik deskargatzen dira.
TUF 1.0.0-ren argitaratutako bertsioak TUF zehaztapenaren erreferentzia-inplementazio guztiz berridatzi eta egonkortua eskaintzen du, prest egindako adibide gisa erabil dezakezuna zure inplementazioak sortzerakoan edo zure proiektuetan integratzeko. Inplementazio berriak kode nabarmen gutxiago dauka (1400 lerro 4700 beharrean), errazagoa da mantentzea eta erraz heda daiteke, adibidez, sare-pila, biltegiratze-sistema edo enkriptazio-algoritmo zehatzetarako euskarria gehitu behar bada.
Iturria: opennet.ru