Rilis TUF 1.0 (The Update Framework) wis diterbitake, nyedhiyakake alat kanggo mriksa lan ngundhuh nganyari kanthi aman. Tujuan utama proyek kasebut yaiku kanggo nglindhungi klien saka serangan khas ing repositori lan infrastruktur, kalebu nglawan promosi dening panyerang nganyari fiktif sing digawe sawise entuk akses menyang kunci kanggo ngasilake teken digital utawa kompromi repositori. Proyèk iki dikembangaké ing naungan Yayasan Linux lan digunakake kanggo nambah keamanan pangiriman nganyari ing proyek kayata Docker, Fuchsia, Automotive Grade Linux, Bottlerocket lan PyPI (kalebu verifikasi undhuhan lan metadata ing PyPI samesthine ing cedhak mangsa ngarep). Kode implementasi referensi TUF ditulis ing Python lan disebarake miturut lisensi Apache 2.0.
Proyèk iki ngembangaken seri perpustakaan, format file lan utilitas sing bisa gampang digabungake menyang sistem nganyari aplikasi sing wis ana, menehi pangayoman yen ana kompromi tombol ing sisih pangembang piranti lunak. Kanggo nggunakake TUF, cukup kanggo nambah metadata sing dibutuhake menyang repositori, lan nggabungake prosedur sing kasedhiya ing TUF kanggo ndownload lan verifikasi file menyang kode klien.
Kerangka TUF njupuk tugas mriksa nganyari, ngundhuh nganyari, lan verifikasi integritas. Sistem instalasi nganyari ora langsung ngganggu metadata tambahan, verifikasi lan loading sing ditindakake dening TUF. Kanggo integrasi karo aplikasi lan nganyari sistem instalasi, ana API tingkat rendah kanggo ngakses metadata lan implementasi klien API tingkat dhuwur, siap kanggo integrasi karo aplikasi.
Antarane serangan sing bisa dilawan TUF yaiku substitusi rilis lawas kanthi topeng nganyari kanggo mblokir koreksi kerentanan piranti lunak utawa mbalekake pangguna menyang versi lawas sing rawan, uga promosi nganyari ala sing ditandatangani kanthi bener nggunakake kompromi. kunci, serangan DoS marang klien, kayata ngisi disk kanthi nganyari tanpa wates.
Perlindhungan marang kompromi infrastruktur panyedhiya piranti lunak digayuh kanthi njaga cathetan sing kapisah lan bisa diverifikasi babagan kahanan gudang utawa aplikasi. Metadata sing diverifikasi dening TUF kalebu informasi babagan kunci sing bisa dipercaya, hash kriptografi kanggo ngevaluasi integritas file, tandha digital tambahan kanggo verifikasi metadata, informasi babagan nomer versi, lan informasi babagan umur rekaman. Tombol sing digunakake kanggo verifikasi umure winates lan mbutuhake nganyari terus-terusan kanggo nglindhungi tandha tandha dening tombol lawas.
Ngurangi risiko kompromi saka kabeh sistem digayuh kanthi nggunakake model kepercayaan sing dienggo bareng, sing saben pihak diwatesi mung ing wilayah sing tanggung jawab langsung. Sistem nggunakake hirarki peran karo tombol dhewe, contone, peran ROOT tandha tombol kanggo peran tanggung jawab kanggo metadata ing gudang, data ing wektu generasi nganyari lan majelis target, ing siji, peran tanggung jawab kanggo tandha rakitan. peran sing ana gandhengane karo sertifikasi file sing dikirim.
Kanggo nglindhungi saka kompromi tombol, mekanisme kanggo pencabutan cepet lan panggantos tombol digunakake. Saben tombol individu mung ngemot kekuwatan minimal sing dibutuhake, lan operasi otentikasi mbutuhake sawetara tombol (bocor saka siji tombol ora ngidini serangan langsung marang klien, lan kanggo kompromi kabeh sistem, kunci kabeh peserta kudu dijupuk). Klien mung bisa nampa file sing luwih anyar tinimbang file sing ditampa sadurunge, lan data diundhuh mung miturut ukuran sing ditemtokake ing metadata sing disertifikasi.
Rilis sing diterbitake saka TUF 1.0.0 nawakake implementasi referensi sing wis ditulis maneh lan stabil saka spesifikasi TUF sing bisa digunakake minangka conto siap nalika nggawe implementasine dhewe utawa kanggo integrasi menyang proyek sampeyan. Implementasine anyar ngandhut kode Ngartekno kurang (1400 garis tinimbang 4700), luwih gampang kanggo njaga lan bisa gampang ditambahi, Contone, yen perlu kanggo nambah support kanggo tumpukan jaringan tartamtu, sistem panyimpenan utawa algoritma enkripsi.
Source: opennet.ru