Yangilanishlarni xavfsiz tekshirish va yuklab olish vositalarini taqdim etuvchi TUF 1.0 (The Update Framework) versiyasi nashr etildi. Loyihaning asosiy maqsadi mijozni omborlar va infratuzilmaga odatiy hujumlardan himoya qilish, shu jumladan raqamli imzolarni yaratish kalitlariga kirish yoki omborni buzishdan keyin yaratilgan xayoliy yangilanishlar hujumchilari tomonidan targ'ib qilinishiga qarshi turishdir. Loyiha Linux Foundation homiyligida ishlab chiqilgan va Docker, Fuchsia, Automotive Grade Linux, Bottlerocket va PyPI kabi loyihalarda yangilanishlarni yetkazib berish xavfsizligini yaxshilash uchun foydalaniladi (PyPI-ga yuklab olish tekshiruvi va metamaʼlumotlar kiritilishi kutilmoqda). yaqin kelajak). TUF havolasini amalga oshirish kodi Python-da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
Loyiha dasturlarni yangilashning mavjud tizimlariga osongina integratsiya qilinishi mumkin bo'lgan, dasturiy ta'minotni ishlab chiquvchilar tomonidan asosiy murosaga kelganda himoyani ta'minlaydigan bir qator kutubxonalar, fayl formatlari va yordamchi dasturlarni ishlab chiqmoqda. TUF-dan foydalanish uchun omborga kerakli metama'lumotlarni qo'shish va fayllarni yuklab olish va tekshirish uchun TUF-da taqdim etilgan protseduralarni mijoz kodiga birlashtirish kifoya.
TUF ramkasi yangilanishni tekshirish, yangilanishni yuklab olish va uning yaxlitligini tekshirish vazifalarini o'z zimmasiga oladi. Yangilashni o'rnatish tizimi qo'shimcha metama'lumotlarga to'g'ridan-to'g'ri xalaqit bermaydi, ularni tekshirish va yuklash TUF tomonidan amalga oshiriladi. Ilovalar va yangilanishlarni o'rnatish tizimlari bilan integratsiya qilish uchun metama'lumotlarga kirish uchun past darajadagi API va ilovalar bilan integratsiyaga tayyor yuqori darajadagi mijoz API ngclientni amalga oshirish taklif etiladi.
TUF qarshi turishi mumkin bo'lgan hujumlar qatoriga dasturiy ta'minotning zaifliklarini tuzatish yoki foydalanuvchining eski zaif versiyasiga qaytishini blokirovka qilish uchun yangilanish niqobi ostida eski versiyalarni almashtirish, shuningdek, buzilgan dastur yordamida to'g'ri imzolangan zararli yangilanishlarni targ'ib qilish kiradi. kaliti, mijozlarga DoS hujumlari, masalan, diskni cheksiz yangilanishlar bilan to'ldirish.
Dasturiy ta'minot provayderi infratuzilmasining buzilishidan himoyalanish ombor yoki ilova holatining alohida, tekshiriladigan yozuvlarini yuritish orqali erishiladi. TUF tomonidan tasdiqlangan metamaʼlumotlarga ishonchli kalitlar haqidagi maʼlumotlar, fayllarning yaxlitligini baholash uchun kriptografik xeshlar, metamaʼlumotlarni tekshirish uchun qoʻshimcha raqamli imzolar, versiya raqamlari va yozuvlarning ishlash muddati haqidagi maʼlumotlar kiradi. Tekshirish uchun ishlatiladigan kalitlar cheklangan xizmat muddatiga ega va eski kalitlar tomonidan imzo hosil bo'lishidan himoya qilish uchun doimiy yangilashni talab qiladi.
Butun tizimning buzilishi xavfini kamaytirish umumiy ishonch modelidan foydalanish orqali erishiladi, bunda har bir tomon faqat o'zi bevosita javobgar bo'lgan soha bilan chegaralanadi. Tizim o'z kalitlari bilan rollar ierarxiyasidan foydalanadi, masalan, asosiy rol belgilari ombordagi metama'lumotlar uchun mas'ul rollar uchun kalitlar, yangilanishlar va maqsadli yig'ilishlarni yaratish vaqti haqidagi ma'lumotlar, o'z navbatida, yig'ilish belgilari uchun mas'ul rol etkazib berilgan fayllarni sertifikatlash bilan bog'liq rollar.
Kalit murosasiga qarshi himoya qilish uchun kalitlarni tezda bekor qilish va almashtirish mexanizmi qo'llaniladi. Har bir alohida kalit faqat minimal zarur vakolatlarni o'z ichiga oladi va autentifikatsiya operatsiyalari bir nechta kalitlardan foydalanishni talab qiladi (bitta kalitning oqishi mijozga darhol hujum qilishga imkon bermaydi va butun tizimni buzish uchun barcha ishtirokchilarning kalitlari bo'lishi kerak. qo'lga olingan). Mijoz faqat oldingi qabul qilingan fayllardan yangiroq bo'lgan fayllarni qabul qilishi mumkin va ma'lumotlar faqat sertifikatlangan metama'lumotlarda ko'rsatilgan hajmga muvofiq yuklab olinadi.
TUF 1.0.0 ning nashr etilgan versiyasi TUF spetsifikatsiyasining toʻliq qayta yozilgan va barqarorlashtirilgan mos yozuvlar ilovasini taklif etadi, siz oʻzingizning ilovalaringizni yaratishda yoki loyihalaringizga integratsiya qilishda tayyor misol sifatida foydalanishingiz mumkin. Yangi dastur sezilarli darajada kamroq kodni o'z ichiga oladi (1400 o'rniga 4700 qator), saqlash osonroq va osonlik bilan kengaytirilishi mumkin, masalan, muayyan tarmoq steklari, saqlash tizimlari yoki shifrlash algoritmlarini qo'llab-quvvatlash zarur bo'lsa.
Manba: opennet.ru