Jump to content

Платформа обновления

Add links

Update Framework (TUF) — это программная платформа, предназначенная для защиты механизмов, которые автоматически идентифицируют и загружают обновления для программного обеспечения. [1] TUF использует ряд ролей и ключей, чтобы обеспечить средства сохранения безопасности, даже если некоторые ключи или серверы скомпрометированы. Это делается с заявленной целью потребовать минимальных изменений и усилий со стороны администраторов репозитория, разработчиков программного обеспечения и конечных пользователей. [2] Таким образом, он защищает репозитории программного обеспечения , которые становятся все более желательной целью для хакеров. [3] [4] [5] [6] [7]

Обновление программного обеспечения , иногда называемое патчем, может добавить функциональные возможности и устранить недостатки в существующем коде. [8] К сожалению, предоставляя обновления для нейтрализации недостатков, эти системы могут непреднамеренно создавать уязвимости, которые, в свою очередь, могут быть использованы злоумышленниками. [9] [10] [11]

В конструкции TUF учитывается, что все репозитории программного обеспечения в какой-то момент, вероятно, будут скомпрометированы, поэтому любая стратегия безопасности должна быть подготовлена ​​​​для этого сценария. Системы с поддержкой TUF ориентированы на ограничение воздействия атак и обеспечение механизма восстановления. Эта стратегия «компромиссной устойчивости» улучшает существующие методы, основанные на подписи ключей. [12] [13] путем включения таких методов, как разделение обязанностей по подписанию и установление порогового количества необходимых подписей. Разделение ответственности за аутентификацию файла или изображения гарантирует, что ни один хакер не сможет поставить под угрозу систему. Это также помогает гарантировать, что ключи, используемые для выполнения конфиденциального действия, могут храниться в безопасном автономном режиме. Даже если одна сторона — или сам репозиторий — будет скомпрометирована, количество затронутых проектов будет ограничено. [14]

На сегодняшний день список технологических компаний и организаций, использующих TUF, включает Foundries.io , [15] ИБМ , [16] VMware, [17] Цифровой океан, [18] Майкрософт, [19] Google, [20] Амазонка, [21] Прыгнуть, [22] двигаться, [23] Докер, [24] и Клаудфлер. [25]

Технология, которая превратилась в TUF, была впервые разработана в Вашингтонском университете в 2009 году Джастином Сэмюэлем и Джастином Каппосом , а ее принципы впервые обсуждались в статье Сэмюэля и Каппоса, написанной в соавторстве с Ником Мэтьюсоном и Роджером Динглдайном , исследователями из The Tor Project, Inc. . [26] С 2011 года TUF базируется в инженерной школе Тандон Нью-Йоркского университета , где Каппос продолжает работать с командой аспирантов и программистов в лаборатории безопасных систем, чтобы контролировать его развитие, развитие и интеграцию в производственное использование в различных сообществах.

Одним из наиболее значительных ранних внедрений TUF в сообществе открытого исходного кода было Docker Content Trust. [27] реализация проекта Notary от Docker , который развертывает контейнеры Linux. [28] Notary, созданный на основе TUF, может как подтверждать достоверность источников образов Docker, так и шифровать содержимое этих образов. [29] [30] Через Notary Content Trust TUF также обеспечивает безопасность операций Microsoft Azure. [19]

С 2017 года Notary и TUF размещаются Linux Foundation в рамках Cloud Native Computing Foundation. [31] [32] Каппос остается в проекте в качестве участника консенсуса. В декабре 2019 года TUF был присвоен статус «выпускника» внутри организации, что означает, что он выполнил ряд шагов, необходимых для перевода проекта на высший уровень зрелости в CNCF. [33] Эти шаги включали проведение независимого аудита безопасности третьей стороны, принятие Кодекса поведения CNCF и четкое определение процесса управления проектом и коммиттера. TUF стал одновременно первым проектом в области безопасности и первым проектом, возглавляемым академическим исследователем, получившим высшее образование в CNCF. [34]

Поскольку он был разработан для легкой адаптации, версии TUF были созданы для ряда языков программирования. Он был независимо реализован на языке Go компанией Flynn — платформой с открытым исходным кодом как услуга (PaaS) для запуска приложений в рабочей среде. [35] [36] [37] Реализации TUF также написаны на Haskell. [38] Руби [39] и Руст . [40] Версия Rust под названием Tough [41] был создан Amazon Web Services Labs для использования с платформами облачных вычислений и API по требованию. Google также внедрил версию TUF для защиты своей операционной системы с открытым исходным кодом Fuchsia. [20]

В 2017 году адаптация этой технологии под названием Uptane , предназначенная для защиты вычислительных блоков автомобилей, была названа журналом Popular Science одним из лучших изобретений в области безопасности 2017 года . [42]

Ссылки

[ редактировать ]
  1. ^ Диас, Владимир; и др. «Спецификация платформы обновления» . В.1.0. SSL Нью-Йоркского университета Тандон . Проверено 14 февраля 2018 г.
  2. ^ «The Update Framework: платформа для защиты систем обновления программного обеспечения» . SSL Нью-Йоркского университета Тандон . Проверено 13 апреля 2020 г. .
  3. ^ «Взлом Kernel.org» . Фонд Linux. 31 августа 2011 года . Проверено 1 февраля 2018 г.
  4. ^ «Отчет о расследовании Debian после компрометации сервера» . Debian.org. 2 декабря 2003 года . Проверено 1 февраля 2018 г.
  5. ^ «Отчет об инфраструктуре, 22 августа 2008 г., UTC 1200» . Redhat.com. 22 августа 2008 года . Проверено 1 февраля 2018 г.
  6. ^ Брэдбери, Дэнни (30 октября 2018 г.). «Змеи в траве! Вредоносный код проник в репозиторий Python PyPI» . Голая Security.com . Проверено 13 апреля 2020 г. .
  7. ^ Клэберн, Томас (26 ноября 2018 г.). «Проверьте свои репозитории… Код кражи криптовалют проникает в довольно популярную библиотеку NPM» . Регистр . Проверено 13 апреля 2020 г. .
  8. ^ Обновление программного обеспечения как механизм устойчивости и безопасности: материалы семинара . Пресса национальных академий. Февраль 2017. стр. 53–58 . Проверено 12 февраля 2018 г.
  9. ^ Редмилес, Элисса (16 мая 2017 г.). «Установка обновлений программного обеспечения вызывает у нас желание плакать» . Научный американец . Проверено 13 ноября 2017 г.
  10. ^ Зеттер, Ким (25 марта 2019 г.). «Хакеры взломали обновления программного обеспечения ASUS и установили бэкдоры на тысячи компьютеров» . Вайс.com . Проверено 13 апреля 2020 г. .
  11. ^ Чимпану, Каталин (10 мая 2019 г.). «Обновление программного обеспечения приводит к сбою полицейских мониторов на лодыжках в Нидерландах» . ZDNet.com . Проверено 13 апреля 2020 г. .
  12. ^ Весна, Том (7 ноября 2017 г.). «Оценка слабых мест в инфраструктуре открытых ключей» . Threatpost.com . Проверено 13 февраля 2018 г.
  13. ^ Чандра, Сураб; Пайра, Смита; Алам, Ск Сафикул; Саньял, Гутам (ноябрь 2014 г.). «Сравнительный обзор криптографии с симметричным и асимметричным ключом» . Международная конференция по электронике, связи и вычислительной технике (ICECCE) , 2014 г. ICECCE. стр. 83–93. дои : 10.1109/ICECCE.2014.7086640 . ISBN  978-1-4799-5748-4 .
  14. ^ Куппусами, Тришанк Картик; Торрес-Ариас, Сантьяго; Диас, Владимир; Каппос, Джастин (март 2016 г.). Дипломат: использование делегирования для защиты репозиториев сообщества . Усеникс. стр. 567–581.
  15. ^ «Ротация ключей FoundriesFactory TUF» . Foundries.io . 05.03.2020 . Проверено 17 августа 2023 г.
  16. ^ «Подписание изображений для доверенного контента» . Документы IBM Cloud. 13 февраля 2020 г. Проверено 13 апреля 2020 г. .
  17. ^ «ВМваре» . www.vmware.com . ВМваре . Архивировано из оригинала 12 мая 2023 года . Проверено 13 мая 2023 г.
  18. ^ «Цифровой океан» . www.digitalocean.com . Цифровой Океан . Архивировано из оригинала 12 мая 2023 года . Проверено 13 мая 2023 г.
  19. ^ Jump up to: а б «Доверие к контенту в реестре контейнеров Azure» . Майкрософт. 6 сентября 2019 года . Проверено 13 апреля 2020 г. .
  20. ^ Jump up to: а б «Проект Фуксия» . Google. 2 апреля 2020 г. Проверено 13 апреля 2020 г. .
  21. ^ «Репозиторий AWS Tough» . Амазонка. 9 апреля 2020 г. Проверено 13 апреля 2020 г. .
  22. ^ «Новинки к новому году» . Проект действий по шифрованию Leap. 23 декабря 2014 года . Проверено 13 апреля 2020 г. .
  23. ^ «Колид Обновление» . Двигаться. 1 ноября 2014 года . Проверено 13 апреля 2020 г. .
  24. ^ «Доверенный реестр Docker» . Мирантис.com . Проверено 13 апреля 2020 г. .
  25. ^ Салливан, Ник (16 марта 2018 г.). «Инструмент загрузки идентификаторов контейнера» . Блог Cloudflare . Проверено 13 апреля 2020 г. .
  26. ^ Сэмюэл, Джастин; Мэтьюсон, Ник; Каппос, Джастин; Дингледин, Роджер. Устойчивый взлом ключа в системах обновления программного обеспечения (PDF) . АКМ. стр. 61–72 - через CCS 2010.
  27. ^ Моника, Диого (12 августа 2015 г.). «Представляем Docker Content Trust — блог Docker» . Блог.Docker.com . Докер . Проверено 2 октября 2016 г.
  28. ^ Фултон III, Скотт М. (12 августа 2015 г.). «Docker: с помощью Content Trust вы можете запускать контейнеры в ненадежных сетях — новый стек» . TheNewStack.io . Новый стек . Проверено 3 октября 2016 г.
  29. ^ Воан-Николс, Стивен Дж. «Docker 1.8 добавляет серьезную безопасность контейнеров ZDNet» . ЗДНет . CBS Интерактив . Проверено 3 октября 2016 г.
  30. ^ Майерс, Астасия (13 февраля 2018 г.). «Глава службы безопасности Docker Дэвид Лоуренс: о TUF, нотариусе и важности безопасности программного обеспечения» . Середина . Проверено 13 апреля 2020 г. .
  31. ^ Джексон, Иоав (24 октября 2017 г.). «CNCF обеспечивает безопасность облачного стека с помощью нотариуса, принятие TUF» . Новый стек.
  32. ^ Фергюсон, Скотт (24 октября 2017 г.). «Фонд Cloud Native Computing принимает 2 проекта безопасности» . Новости корпоративного облака.
  33. ^ «Фонд Cloud Native Computing объявляет об окончании TUF» . CNCF. 18 декабря 2019 года . Проверено 13 апреля 2020 г. .
  34. ^ «Фонд Cloud Native Computing объявляет об окончании TUF» . LWN.net. 19 декабря 2019 года . Проверено 13 апреля 2020 г. .
  35. ^ Егулалп, Сердар (28 июля 2016 г.). «Flynn с открытым исходным кодом избавляет от головной боли при развертывании приложений» . www.Infoworld.com . ИДГ . Проверено 3 октября 2016 г.
  36. ^ «Охрана – Флинн» . Флинн.io . Проверено 3 октября 2016 г.
  37. ^ "флинн/готуф" . www.github.com . ГитХаб, Инк . Проверено 3 октября 2016 г.
  38. ^ «Альфа-релиз Hackable Security» . Well-Typed.com. 8 июля 2015 года . Проверено 13 апреля 2020 г. .
  39. ^ Шэй, Ксавьер (6 декабря 2013 г.). «Защита RubyGems с помощью TUF, часть 1» . Medium.com . Проверено 6 апреля 2018 г.
  40. ^ «Реализация The Update Framework (TUF) на Rust» . Гитхаб . Проверено 13 апреля 2020 г. .
  41. ^ «AWSlabs/Tough» . Гитхаб . 5 ноября 2019 года . Проверено 13 апреля 2020 г. .
  42. ^ Атертон, Келси Д.; Фельтман, Рэйчел (17 октября 2017 г.). «Самые важные инновации года в области безопасности» . Популярная наука.
[ редактировать ]

Избранные публикации

[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=The_Update_Framework&oldid=1232795576"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 1539d9d33d37d445127a10ba4c58f4e2__1720187460
URL1:https://arc.ask3.ru/arc/aa/15/e2/1539d9d33d37d445127a10ba4c58f4e2.html
Заголовок, (Title) документа по адресу, URL1:
The Update Framework - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)