in-toto提供了一个框架来保护软件供应链的完整性,确保软件产品从启动到最终用户安装的完整和安全性。它规定了软件的供应过程应当执行哪些步骤、由谁执行以及以什么顺序执行。in-toto需要项目所有者创建布局,布局列出了软件供应链的步骤顺序,以及授权执行这些步骤的人员。当一个工作人员执行一个步骤时,会收集有关使用的命令和相关文件的信息,并将其存储在链接元数据文件中。该链接文件提供了建立连续的链所需的证据,可以根据布局中定义的步骤进行验证。由项目所有者签署的布局,以及由指定人员签署的链接会作为最终产品的一部分发布,且可以手动或通过自动化工具(例如包管理器)进行验证。入门安装in-toto可以通过pip在PyPI上可用,参阅 in-toto.readthedocs.io 以了解系统依赖项以及安装替代方案和建议。pipinstallin-toto创建布局、运行供应链步骤,并验证最终产品
布局软件供应链布局由以下部分组成:截止日期自述文件(供应链的可选描述)功能密钥(公钥,用于验证链接元数据签名)签名(使用项目所有者密钥创建的一个或多个布局签名)软件供应链步骤 对应于作为软件供应链一部分的职能人员执行的步骤。布局中定义的步骤列出了有权执行该步骤的工作人员(通过密钥ID)。in-toto步骤需要一个唯一的名称,以便将它们(在验证时)与在工作人员使用工具执行步骤时创建的链接元数据相关联。此外,步骤必须具有定义步骤应该操作的文件的材料和产品规则。检查 定义要在验证过程中运行的命令,还可以列出材料和产品规则。查看演示布局创建示例 ,了解如何创建整体布局。声明:本文仅代表作者观点,不代表本站立场。如果侵犯到您的合法权益,请联系我们删除侵权资源!如果遇到资源链接失效,请您通过评论或工单的方式通知管理员。未经允许,不得转载,本站所有资源文章禁止商业使用运营!
下载安装【程序员客栈】APP
实时对接需求、及时收发消息、丰富的开放项目需求、随时随地查看项目状态
评论