De frijlitting fan TUF 1.0 (The Update Framework) is publisearre, en biedt ark foar it feilich kontrolearjen en downloaden fan updates. It haaddoel fan it projekt is om de kliïnt te beskermjen fan typyske oanfallen op repositories en ynfrastruktuer, ynklusyf it tsjingean fan 'e promoasje troch oanfallers fan fiktive updates makke nei it krijen fan tagong ta kaaien foar it generearjen fan digitale hantekeningen of kompromittearjen fan it repository. It projekt is ûntwikkele ûnder auspysjes fan 'e Linux Foundation en wurdt brûkt om de feiligens fan fernijingferliening te ferbetterjen yn projekten lykas Docker, Fuchsia, Automotive Grade Linux, Bottlerocket en PyPI (it opnimmen fan downloadferifikaasje en metadata yn PyPI wurdt ferwachte yn 'e ynkoarten). De TUF-referinsje-ymplemintaasjekoade is skreaun yn Python en ferspraat ûnder de Apache 2.0-lisinsje.
It projekt ûntwikkelet in searje biblioteken, bestânsformaten en nutsbedriuwen dy't maklik kinne wurde yntegreare yn besteande applikaasje-fernijingssystemen, en soarget foar beskerming yn gefal fan kaai-kompromis oan 'e kant fan software-ûntwikkelders. Om TUF te brûken, is it genôch om de nedige metadata ta te foegjen oan it repository, en de prosedueres yn TUF te yntegrearjen foar it downloaden en ferifiearjen fan bestannen yn 'e kliïntkoade.
It TUF-kader nimt de taken op om te kontrolearjen op in update, de fernijing te downloaden en de yntegriteit te ferifiearjen. It update-ynstallaasjesysteem bemuoit net direkt mei ekstra metadata, wêrfan de ferifikaasje en laden wurdt útfierd troch TUF. Foar yntegraasje mei applikaasjes en update ynstallaasje systemen, in leech-nivo API foar tagong ta metadata en in ymplemintaasje fan in hege-nivo client API ngclient, klear foar yntegraasje mei applikaasjes, wurde oanbean.
Under de oanfallen dy't TUF kin tsjinkomme binne de ferfanging fan âlde releases ûnder it mom fan updates om de korreksje fan software-kwetsberheden te blokkearjen of it weromdraaien fan 'e brûker nei in âlde kwetsbere ferzje, lykas ek de promoasje fan kweade updates dy't goed ûndertekene binne mei in kompromittearre kaai, DoS oanfallen op kliïnten, lykas it foljen fan de skiif mei einleaze updates.
Beskerming tsjin kompromissen fan 'e ynfrastruktuer fan' e softwareprovider wurdt berikt troch it behâld fan aparte, ferifieare records fan 'e steat fan' e repository of applikaasje. Metadata ferifiearre troch TUF omfettet ynformaasje oer kaaien dy't kinne wurde fertroud, kryptografyske hashes om de yntegriteit fan bestannen te evaluearjen, ekstra digitale hantekeningen om metadata te ferifiearjen, ynformaasje oer ferzjenûmers, en ynformaasje oer it libben fan records. De kaaien dy't brûkt wurde foar ferifikaasje hawwe in beheind libben en fereaskje konstante fernijing om te beskermjen tsjin hantekeningfoarming troch âlde kaaien.
It ferminderjen fan it risiko fan kompromis fan it hiele systeem wurdt berikt troch it brûken fan in dielde fertrouwensmodel, wêryn elke partij allinich beheind is ta it gebiet dêr't se direkt ferantwurdlik is. It systeem brûkt in hierargy fan rollen mei har eigen kaaien, bygelyks, de root-rol tekenet kaaien foar rollen dy't ferantwurdlik binne foar metadata yn 'e repository, gegevens oer de tiid fan generaasje fan updates en doelgearkomsten, op syn beurt, de rol ferantwurdlik foar assemblies tekens rollen ferbûn mei de sertifikaasje fan levere bestannen.
Om te beskermjen tsjin kaai kompromis, in meganisme foar prompt ynlûken en ferfangen fan kaaien wurdt brûkt. Elke yndividuele kaai befettet allinich de minimale nedige krêften, en autentikaasje-operaasjes fereaskje it gebrûk fan ferskate kaaien (it lek fan ien kaai lit gjin direkte oanfal op 'e kliïnt ta, en om it hiele systeem te kompromittearjen, moatte de kaaien fan alle dielnimmers wêze fêstlein). De kliïnt kin allinich bestannen akseptearje dy't resinte binne as earder ûntfongen bestannen, en gegevens wurde allinich downloade neffens de grutte spesifisearre yn 'e sertifisearre metadata.
De publisearre útjefte fan TUF 1.0.0 biedt in folslein opnij skreaune en stabilisearre referinsje-ymplemintaasje fan 'e TUF-spesifikaasje dy't jo kinne brûke as in ready-made foarbyld by it meitsjen fan jo eigen ymplemintaasjes of foar yntegraasje yn jo projekten. De nije ymplemintaasje befettet gâns minder koade (1400 rigels ynstee fan 4700), is makliker te ûnderhâlden en kin maklik útwreide, Bygelyks, as it nedich is om te foegjen stipe foar spesifike netwurk stacks, opslach systemen of fersifering algoritmen.
Boarne: opennet.ru