可確保軟體更新安全的開源規範The Update Framework(TUF)已經達到CNCF(Cloud Native Computing Foundation)的專案畢業狀態,而TUF也是第一個從CNCF畢業的規範(Specification)專案。

TUF專案負責人Justin Cappos提到,TUF的設計讓企業不需要在營運安全上做到完美,當企業意外地公開簽章金鑰、遭惡意人士侵入軟體儲存庫或是流氓員工作亂,他們所能造成的損害都是有限的,Justin Cappos認為,深度防禦是安全的關鍵,而在實務上,軟體更新基礎設施的安全是關鍵之一。TUF提供了一個安全軟體更新系統的框架。

目前正在被使用的軟體更新器有成千上萬種,就普通Windows用戶的電腦來說,可能就包含了20幾個不同的軟體更新器,這些更新器為軟體增加新功能並解決舊漏洞。TUF官方提到,軟體很少是靜態的,甚至部分軟體儲存庫每隔數分鐘就會收到軟體和專案元資料的更新,而不斷成長的更新流量,同時也產生了保護更新系統的需要。

TUF專案在10年前啟動,目的是要強化系統防範攻擊,抵禦傳播惡意軟體和破壞儲存庫的能力,TUF專案內含有一組函式庫、檔案格式和公用程式,讓用戶能夠保護新的和現有的軟體更新系統。TUF設計提供最小化影響的方法,並且能彈性地滿足各式軟體更新系統需求,且容易與現有的軟體更新系統整合。

TUF由美國國家科學基金會和美國國土安全部資助開發,在2017年被CNCF接受為孵化器專案,此後便成為保護軟體更新系統的標準,被AWS、Google、Cloudflare、微軟、Docker、IBM、紅帽與VMware等大型企業採用。CNCF技術長表示,現在開源軟體無所不在,並且在許多裝置上無縫地更新,而TUF在軟體供應鏈上扮演重要的角色。


Advertisement

更多 iThome相關內容