TUF 1.0 (Жаңыртуу алкагы) жаңыртууларды коопсуз текшерүү жана жүктөө үчүн куралдар менен камсыз кылуучу релиз жарыяланды. Долбоордун негизги максаты кардарды репозиторийлерге жана инфраструктурага типтүү чабуулдардан коргоо, анын ичинде санариптик кол тамгаларды түзүү үчүн ачкычтарга жетүү же репозиторийге зыян келтиргенден кийин түзүлгөн ойдон чыгарылган жаңыртуулардын чабуулчулары тарабынан илгерилетүүсүнө каршы туруу. Долбоор Linux Фондунун демөөрчүлүгү астында иштелип чыккан жана Docker, Fuchsia, Automotive Grade Linux, Bottlerocket жана PyPI сыяктуу долбоорлордо жаңыртууларды жеткирүү коопсуздугун жогорулатуу үчүн колдонулат (PyPIге жүктөө текшерүүсүн жана метаберилиштерди киргизүү болжолдонууда. жакынкы келечек). TUF маалымдамасынын ишке ашыруу коду Python тилинде жазылган жана Apache 2.0 лицензиясынын астында таратылат.
Долбоор бир катар китепканаларды, файл форматтарын жана программаларды иштеп чыгуучулар тарабынан негизги компромисске учураган учурда коргоону камсыз кылып, колдонуудагы тиркемелерди жаңыртуу системаларына оңой интеграциялануучу утилиталарды иштеп чыгууда. TUFти колдонуу үчүн репозиторийге керектүү метаберилиштерди кошуу жана файлдарды жүктөө жана текшерүү үчүн TUFте каралган процедураларды кардар кодуна интеграциялоо жетиштүү.
TUF алкагы жаңыртууну текшерүү, жаңыртууну жүктөп алуу жана анын бүтүндүгүн текшерүү милдеттерин өзүнө алат. Жаңыртууну орнотуу системасы кошумча метаберилиштерге түздөн-түз кийлигишпейт, аларды текшерүү жана жүктөө TUF тарабынан ишке ашырылат. Тиркемелер менен интеграциялоо жана жаңыртуу орнотуу системалары үчүн метаберилиштерге жетүү үчүн төмөнкү деңгээлдеги API жана тиркемелер менен интеграцияга даяр жогорку деңгээлдеги кардар API ngclient ишке ашыруу сунушталат.
TUF каршы боло турган чабуулдардын арасында программалык камсыздоонун кемчиликтерин оңдоого бөгөт коюу үчүн жаңыртууларга жамынган эски релиздерди алмаштыруу же колдонуучунун эски аялуу версиясына кайтуу, ошондой эле бузулган программа аркылуу туура кол коюлган зыяндуу жаңыртууларды жылдыруу кирет. негизги, кардарларга DoS чабуулдары, мисалы, дискти чексиз жаңыртуулар менен толтуруу.
Программалык камсыздоону камсыздоочунун инфраструктурасынын бузулуусунан коргоо репозиторийдин же тиркеменин абалынын өзүнчө, текшерилүүчү жазууларын жүргүзүү аркылуу ишке ашат. TUF тарабынан текшерилген метадайындарга ишенүүгө боло турган ачкычтар, файлдардын бүтүндүгүн баалоо үчүн криптографиялык хэштер, метаберилиштерди текшерүү үчүн кошумча санарип кол тамгалар, версия номерлери жана жазуулардын иштөө мөөнөтү жөнүндө маалымат кирет. Текшерүү үчүн колдонулган ачкычтар чектелген мөөнөткө ээ жана эски ачкычтар аркылуу кол тамгалардын пайда болушунан коргоо үчүн дайыма жаңыртып турууну талап кылат.
Бүткүл системанын компромисстик тобокелдигин азайтуу ар бир тарап өзү түздөн-түз жооптуу болгон чөйрө менен гана чектелүүчү жалпы ишеним моделин колдонуу аркылуу ишке ашат. Система өз ачкычтары бар ролдордун иерархиясын колдонот, мисалы, репозиторийдеги метаберилиштерге жооптуу ролдордун негизги ролунун белгилеринин ачкычтары, жаңыртуулардын жана максаттуу ассамблеялардын жаралуу убактысы жөнүндө маалыматтар, өз кезегинде ассамблеялардын белгилери үчүн жооптуу роль жеткирилген файлдарды тастыктоо менен байланышкан ролдор.
Негизги компромисстен коргоо үчүн ачкычтарды тез арада жокко чыгаруу жана алмаштыруу механизми колдонулат. Ар бир жеке ачкыч минималдуу зарыл ыйгарым укуктарды гана камтыйт, ал эми аутентификация операциялары бир нече ачкычтарды колдонууну талап кылат (бир ачкычтын агып чыгышы кардарга дароо кол салууга жол бербейт жана бүт системаны бузуу үчүн, бардык катышуучулардын ачкычтары болушу керек. колго түшүрүлгөн). Кардар мурда алынган файлдарга караганда акыркы файлдарды гана кабыл ала алат жана маалыматтар тастыкталган метаберилиштерде көрсөтүлгөн көлөмгө ылайык гана жүктөлөт.
TUF 1.0.0 жарыяланган релиз TUF спецификациясынын толугу менен кайра жазылган жана турукташкан маалымдама ишке ашыруусун сунуштайт, аны сиз өзүңүздүн ишке ашырууларыңызды түзүүдө же долбоорлоруңузга интеграциялоодо даяр мисал катары колдоно аласыз. Жаңы ишке ашыруу бир кыйла азыраак кодду камтыйт (1400дүн ордуна 4700 сап), тейлөө оңой жана оңой узартылышы мүмкүн, мисалы, белгилүү бир тармактык стектерге, сактоо тутумдарына же шифрлөө алгоритмдерине колдоо кошуу керек болсо.
Source: opennet.ru