Ir-rilaxx ta' TUF 1.0 (Il-Qafas tal-Aġġornament) ġie ppubblikat, li jipprovdi għodod għall-iċċekkjar u t-tniżżil ta' aġġornamenti b'mod sigur. L-għan ewlieni tal-proġett huwa li jipproteġi lill-klijent minn attakki tipiċi fuq repożitorji u infrastruttura, inkluż il-ġlieda kontra l-promozzjoni minn attakkanti ta 'aġġornamenti fittizji maħluqa wara li kisbu aċċess għal ċwievet biex jiġġeneraw firem diġitali jew jikkompromettu r-repożitorju. Il-proġett huwa żviluppat taħt l-awspiċju tal-Linux Foundation u jintuża biex itejjeb is-sigurtà tat-twassil tal-aġġornamenti fi proġetti bħal Docker, Fuchsia, Automotive Grade Linux, Bottlerocket u PyPI (l-inklużjoni tal-verifika tat-tniżżil u l-metadata fil-PyPI hija mistennija fil- futur qarib). Il-kodiċi ta' implimentazzjoni ta' referenza TUF huwa miktub f'Python u mqassam taħt il-liċenzja Apache 2.0.
Il-proġett qed jiżviluppa serje ta 'libreriji, formati ta' fajls u utilitajiet li jistgħu jiġu integrati faċilment f'sistemi eżistenti ta 'aġġornament tal-applikazzjoni, li jipprovdu protezzjoni fil-każ ta' kompromess ewlieni min-naħa tal-iżviluppaturi tas-softwer. Biex tuża TUF, huwa biżżejjed li żżid il-metadata meħtieġa mar-repożitorju, u tintegra l-proċeduri pprovduti f'TUF għat-tniżżil u l-verifika ta' fajls fil-kodiċi tal-klijent.
Il-qafas TUF jieħu l-kompiti li jiċċekkja għal aġġornament, tniżżel l-aġġornament, u jivverifika l-integrità tiegħu. Is-sistema tal-installazzjoni tal-aġġornament ma tinterferixxix direttament mal-metadejta addizzjonali, li l-verifika u t-tagħbija tagħha jsiru mit-TUF. Għall-integrazzjoni ma 'applikazzjonijiet u sistemi ta' installazzjoni ta 'aġġornament, API ta' livell baxx għall-aċċess għall-metadejta u implimentazzjoni ta 'livell għoli ta' klijent API ngclient, lest għall-integrazzjoni ma 'applikazzjonijiet, huma offruti.
Fost l-attakki li TUF jista’ jiġġieled hemm is-sostituzzjoni ta’ rilaxxi qodma taħt l-iskuża ta’ aġġornamenti sabiex jimblokka l-korrezzjoni tal-vulnerabbiltajiet tas-softwer jew ir-rollback tal-utent għal verżjoni vulnerabbli antika, kif ukoll il-promozzjoni ta’ aġġornamenti malizzjużi ffirmati b’mod korrett bl-użu ta’ kompromess. ewlenin, attakki DoS fuq klijenti, bħall-mili tad-diska b'aġġornamenti bla tarf.
Il-protezzjoni kontra l-kompromess tal-infrastruttura tal-fornitur tas-softwer tinkiseb billi jinżammu rekords separati u verifikabbli tal-istat tar-repożitorju jew tal-applikazzjoni. Il-metadejta vverifikata minn TUF tinkludi informazzjoni dwar ċwievet li jistgħu jiġu fdati, hashes kriptografiċi biex tiġi evalwata l-integrità tal-fajls, firem diġitali addizzjonali biex tivverifika l-metadejta, informazzjoni dwar in-numri tal-verżjoni, u informazzjoni dwar il-ħajja tar-rekords. Iċ-ċwievet użati għall-verifika għandhom ħajja limitata u jeħtieġu aġġornament kostanti biex jipproteġu kontra l-formazzjoni tal-firma minn ċwievet qodma.
It-tnaqqis tar-riskju ta’ kompromess tas-sistema kollha jinkiseb permezz tal-użu ta’ mudell ta’ fiduċja kondiviża, li fih kull parti hija limitata biss għall-qasam li għalih hija direttament responsabbli. Is-sistema tuża ġerarkija ta 'rwoli biċ-ċwievet tagħhom stess, pereżempju, ir-rwol ta' l-għeruq jiffirma ċwievet għal rwoli responsabbli għall-metadejta fir-repożitorju, dejta dwar il-ħin tal-ġenerazzjoni ta 'aġġornamenti u assemblaġġi fil-mira, min-naħa tagħhom, ir-rwol responsabbli għal sinjali ta' assemblaġġi rwoli assoċjati maċ-ċertifikazzjoni tal-fajls mogħtija.
Biex tipproteġi kontra l-kompromess taċ-ċwievet, jintuża mekkaniżmu għar-revoka fil-pront u s-sostituzzjoni taċ-ċwievet. Kull ċavetta individwali fiha biss il-poteri minimi meħtieġa, u l-operazzjonijiet ta 'awtentikazzjoni jeħtieġu l-użu ta' diversi ċwievet (it-tnixxija ta 'ċavetta waħda ma tippermettix attakk immedjat fuq il-klijent, u biex tikkomprometti s-sistema kollha, iċ-ċwievet tal-parteċipanti kollha għandhom ikunu maqbuda). Il-klijent jista 'jaċċetta biss fajls li huma aktar reċenti minn fajls riċevuti qabel, u d-dejta titniżżel biss skont id-daqs speċifikat fil-metadejta ċċertifikata.
Ir-rilaxx ippubblikat ta 'TUF 1.0.0 joffri implimentazzjoni ta' referenza kompletament miktuba mill-ġdid u stabilizzata tal-ispeċifikazzjoni TUF li tista 'tuża bħala eżempju lest meta toħloq l-implimentazzjonijiet tiegħek stess jew għall-integrazzjoni fil-proġetti tiegħek. L-implimentazzjoni l-ġdida fiha ħafna inqas kodiċi (1400 linja minflok 4700), hija aktar faċli biex tinżamm u tista 'tiġi estiża faċilment, pereżempju, jekk ikun meħtieġ li jiżdied l-appoġġ għal munzelli ta' netwerk speċifiċi, sistemi ta 'ħażna jew algoritmi ta' encryption.
Sors: opennet.ru