供应链安全项目in-toto升级成为CNCF孵化项目

CNCF技术监督委员会^[1]（TOC）已投票接受 in-toto 作为 CNCF 的孵化项目。

in-toto 是一个通过收集和验证相关数据来保护软件供应链的框架。它通过使库能够收集关于软件供应链行为的信息，并允许软件消费者和项目经理发布关于软件供应链实践的政策来做到这一点，这些政策可以在部署或安装软件之前进行验证。简而言之，它有助于捕获软件供应链中发生的事情，并确保它按照定义的策略发生。

该项目于 2015 年由纽约大学坦顿工程学院的安全系统实验室创建。从那时起，它一直在不断发展，以更好地适应不同软件生态系统中的实践，并更好地与其他云技术（如 SPIFFE 和 SPIRE）集成。因为一个链的强度取决于它最薄弱的环节，所以这个项目仍然有足够的可塑性来保护软件供应链的每一个方面——从源代码到加入 Kubernetes 集群以及其他。

“供应链安全是当今软件生态系统面临的最大挑战之一，”CNCF TOC 成员和项目赞助人 Justin Cormack 说。“一个典型的软件供应链是由多个链接在一起的步骤组成的，包括编写、测试、打包和分发软件。更多的步骤意味着一个组织更容易受到攻击。in-toto 通过提供安全可靠的方式来表示和验证云原生流水线中的所有操作，解决了这个问题。我们看到了社区对此的强烈支持。”

自 2019 年加入 CNCF 沙箱以来，in-toto 已经吸引了来自 16 家以上不同机构的132 位贡献者^[2]，目前已有来自 5 家机构的 8 位维护者和审批人。

在过去的三年中，in-toto 团队专注于通过添加或修改特性来实现稳定性，包括对 SPIFFE 的支持、更有表现力的证据收集以及不同语言（如 Rust）的实现。该项目还被集成到关键的安全应用程序，如 Reproducible Builds 和 Sigstore。

in-toto 已被多家组织采用，包括Datadog^[3]、谷歌 Grafeas^[4]、Kubesecio.io^[5]、rebuilderd^[6]、SolarWinds、Sigstore 的Cosign^[7]等等。Datadog 使用它来保护他们的流水线^[8]，SolarWinds 使用它来避免未来像 2019 年 SUNBURST 黑客那样的危害。此外，rebuilderd 等项目会产生完全认证，以允许密码可验证的构建可再现性检查。最后，像 cosign （Sigstore 的一部分）这样的项目，使用 in-toto 作为底层技术来验证各种供应链行为。事实上，in-toto 是 sigstore 上第二常用的机制^[9]。

in-toto 也是第一个通过 CNCF TAG security 安全评估的项目。

显著的里程碑：

• 超过 500 颗 GitHub 星星
• 700 个拉请求
• 194 个问题
• 45 位贡献者
• 32 个版本

“在过去的几年里，我们看到整个软件供应链受到攻击的频率和严重程度都在增加，甚至白宫最近也发布了行政命令。”CNCF 首席技术官 Chris Aniszczyk 说：“我们很高兴有一个在供应链安全领域提供创新的项目，我们期待看到社区之间的合作，继续使云原生生态系统更加安全。”

自 2020 年发布 1.0 以来，in-toto 一直专注于为现有集成提供稳定性。在接下来的一年里，该团队计划添加令人兴奋的新特性，包括在证据收集过程中支持表达型跟踪，更好地支持 SLSA 认证处理，以及更简单的策略语言，以及“最佳供应链实践”政策的集合，以方便项目采用，以确保其供应链的安全。更多信息请参见项目路线图^[10]。

作为一个由 CNCF 托管项目，in-toto 是该中立基金会的一部分，与其技术利益相一致，同时也是一个更大的 Linux 基金会的一部分，该基金会提供治理、营销支持和社区拓展服务。in-toto 加入了 Argo、Buildpacks、Chaos Mesh、Cilium、CloudEvents、CNI、Contour、Cortex、CRI-O、Crossplane、Dapr、Dragonfly、emissary-ingress、Falco、Flagger、Flux、gRPC、KEDA、Knative、KubeEdge、Litmus、Longhorn、NATS、Notary、OpenMetrics、OpenTelemetry、Operator Framework、SPIFFE、SPIRE 和 Thanos 等技术行列。有关每个等级成熟度要求的更多信息，请访问CNCF 毕业标准^[11]。

参考资料