作者:VMware 的 Kairo de Araujo
我们非常高兴地宣布 RSTUF(TUF 存储库服务)已加入 OpenSSF,成为 OpenSSF 沙盒项目。这是我们在确保改进安全内容分发方面迈出的重要一步。
RSTUF 是做什么的?
RSTUF 有助于应对一项重大挑战:确保软件库的安全,特别是确保软件更新的完整性。确保软件库的安全对于防止供应链攻击和篡改至关重要。 更新框架 (TUF) 通过提供一个强大的安全存储库管理框架来应对这一挑战,该框架可防止危及存储库或签名密钥的攻击。
实施 TUF 资源库可能既复杂又耗时。这正是 RSTUF 的用武之地。RSTUF 简化了 TUF 资源库的实施过程,使 TUF 的安全优势更易于采用和受益。以下是 RSTUF 的一些亮点:
- RSTUF 是 不区分语言:通过 REST API 调用与外部系统集成。
- RSTUF 是 不可知论者:可保护任何类型的下载内容,如软件包、文档、图像等。
- RSTUF 是 易部署:它可以部署在办公场所或公共/私有云上。RSTUF 与现有的内容库和发布流程保持一致,简化了 TUF 的采用。
背景介绍
RSTUF 的诞生源于以下初步设想 执行 在 Python 软件包索引(PyPI)上采用了 TUF。类似的 TUF 采用计划也出现在其他公共软件源中,如 RubyGems。这些努力有一个共同点:它们必须应对深度集成到一个复杂平台的复杂性和脆弱性,该平台具有高流量和复杂的基础设施。
在这些倡议的基础上,RSTUF 应运而生。RSTUF 的目标是通过一个单一、中立的项目,帮助资源库共同努力实施 TUF,以确保内容交付。毕竟,"资源库的相同点多于不同点"(Jussi Kukkonen - 谷歌/TUF 维护者,2022 年开源欧盟峰会)。重要的是,RSTUF 也有来自 TUF 专家和维护者的贡献,这让用户对项目的稳健性和持久性更有信心。
如何参与
RSTUF 正在寻找更多的贡献者和早期采用者,以帮助我们制定坚实的路线图,并发布我们的第一个正式生产版本。查看 我们的文件在这里您可以找到 RSTUF 指南和我们的开发指南。我们还有一个 项目 GitHub 存储库.
我们还可以在 #repository-service-tuf 频道。我们期待与您合作!
关于作者
凯罗-弗朗西斯科-德阿劳霍 是一名高级开源软件工程师,也是 VMware 开源项目办公室 (OSPO) 的工作人员,在安全供应链团队工作。作为一名软件和系统工程师,他在基础架构领域工作了二十多年。Kairo 来自巴西,与妻子和儿子住在荷兰,喜欢听披头士和骑自行车。业余时间,Kairo 喜欢收集黑胶唱片(他有很多稀有藏品),还喜欢和家人一起骑公路自行车。
