专栏首页CNCFCNCF宣布TUF毕业

CNCF宣布TUF毕业

Amazon、Datadog、谷歌、IBM、Microsoft、VMWare和其他领先的云原生公司都采用了该规范

旧金山,加利福尼亚 - 2019年12月18日 - 为云原生软件构建可持续生态系统的CNCF®(Cloud Native Computing Foundation®,云原生计算基金会)今天宣布,The Update Framework(TUF)是继Kubernetes、Prometheus、Envoy、CoreDNS、containerd、Fluentd、Jaeger和Vitess之后的第九个毕业项目。要使项目从孵化的成熟度级别过渡到毕业,它们必须展示出良好的采用、开放的治理过程,以及对社区、可持续性和包容性的强烈承诺。

https://theupdateframework.io/

https://github.com/cncf/toc/blob/master/process/graduation_criteria.adoc

TUF是一种保护软件更新系统的开源技术,它是毕业的第一个规范和第一个以安全为重点的项目。纽约大学坦顿工程学院(NYU Tandon School of engineering)计算机科学与工程副教授Justin Cappos最初在2009年开发了这个项目。Cappos也是第一个领导毕业项目的学术研究者,TUF也是第一个从大学毕业的项目。

https://engineering.nyu.edu/faculty/justin-cappos

“我们正在进入一个新的纪元,开源软件无处不在,并通过许多设备在我们的生活中无缝更新。”云原生计算基金会CTO/COO Chris Aniszczyk表示:“我们很高兴看到TUF保障了软件供应链的一个重要部分,并期待继续在CNCF维持他们的社区。”

TUF已经成为保护软件更新系统的行业事实上的标准。它被主要的基于云的服务供应商所利用,包括亚马逊 - 它最近发布了TUF的定制开源版本 - 微软、谷歌、Cloudflare、Datadog、DigitalOcean、Docker、IBM、RedHat、VMware等。

TUF于2017年被接受为CNCF项目。同年,Cappos与密歇根大学交通运输研究所和西南研究所的一组研究人员开发了TUF的汽车应用Uptane。Uptane已被汽车制造商广泛采用 - 据预测,在美国公路上行驶的2023型汽车中,大约有三分之一将使用Uptane。

https://uptane.github.io/

“我们设计TUF是为了让一个组织不需要在运营安全方面做到完美。”Cappos说:“如果一家公司不小心公开了一个签名密钥,有黑客侵入了他们的软件存储库,或者一名心怀不满的员工闹事,他们能造成的损害是有限的。深度防御是安全的关键,而软件更新基础设施的安全性是实践中最关键的问题之一。

纽约大学丹东分校的TUF的主要贡献者包括博士研究生Trishank Karthik Kuppusamy,现为Datadog的首席安全解决方案工程师。现任博士生Santiago Torres和Marina Moore;开发者Lukas Puehringer以及之前的开发者Sebastien Awwad和Vladimir Diaz,他们都是Cappos安全系统实验室的成员。该团队还感谢来自Docker、Tor、Python等组织的众多贡献,以及来自CNCF领域和汽车行业的参与者的广泛贡献。

https://ssl.engineering.nyu.edu/people

为正式从孵化阶段毕业,本项目已通过CNCF行为规范。它还定义了透明的开放治理,不仅获得了CII最佳实践,而且是第一个获得银徽章的CNCF项目。

https://github.com/theupdateframework/tuf/blob/develop/docs/CODE-OF-CONDUCT.md

https://github.com/theupdateframework/tuf/blob/develop/docs/GOVERNANCE.md

https://bestpractices.coreinfrastructure.org/projects/1351

TUF背景

TUF是在大约10年前推出的,它是一种构建系统弹性的方法,可以抵御关键的入侵和其他可能传播恶意软件或危及存储库的攻击。其设计背后的主要目标是:

  • 提供一个框架(一组库、文件格式和实用程序),用于保护新的和现有的软件更新系统。
  • 提供将关键折衷的影响最小化的方法。
  • 具有足够的灵活性以满足各种软件更新系统的需求。
  • 易于与现有的软件更新系统集成。

更多关于TUF的信息,请访问:https://theupdateframework.github.io/。

本文分享自微信公众号 - CNCF(lf_cncf),作者:CNCF

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 成员网研会:在本地Kubernetes集群的海洋中航行(视频+PDF)

    你的公司已经决定开始迁移到Kubernetes。令人兴奋的!现在是时候设置你的开发环境了,这样你就可以在一个真正的Kubernetes集群中快速测试你的应用程序...

    CNCF
  • CNCF网研会(视频+PDF):YAML是可选的:探索应用程序开发者的Kubernetes选项

    这次演讲的重点是可用性,以及当前的工具,例如kubectl和YAML,如何不能满足应用程序开发者的目标。会谈到NetApp在ALM方面的工作,也会谈到生态系统的...

    CNCF
  • Prometheus在京东开源项目ChubaoFS中的使用

    在我的印象中,普罗米希修斯是古希腊神话中的最具智慧之神,不仅创造了人类,还给人类带来了火。同样Prometheus项目也是非常优秀的项目,很早就引起了我们的兴趣...

    CNCF
  • selenium2java使用select处理下拉框示例

    在学习selenium2java的时候,在写收货地址相关用例的时候碰到了下拉框,刚好练习了一下select的使用,现在分享,供大家参考。

    八音弦
  • 19.7 zabbix的主动模式和被动模式

    主动模式和被动模式 主动或者被动是相对客户端来讲的 被动模式,服务端会主动连接客户端获取监控项目数据,客户端被动地接受连接,并把监控信息传递给服务端,服...

    运维小白
  • DeepMind提出关系RNN:构建关系推理模块,强化学习利器

    新智元
  • [Github项目推荐] 推荐三个助你更好利用Github的工具

    作为一名程序员,学会使用 Github 是一个必备技能,正如同需要学会利用谷歌搜索问题的解决方案一样。

    材ccc
  • PostgreSQL给模糊搜索加索引 转

    PostgrSQL有个模块叫pg_trgm,可以对字符串来进行比较相似度,并通过加GIST或者GIN索引来达到提速的效果。在一般的RDBMS中这种需求都会进行全...

    双面人
  • windows下python 安装mys

    首先查找过一些资料,选定mysql-python 来用做python访问mysql的支持库。

    py3study
  • linux centos7服务器使用密钥登录ssh同时禁止root密码登录

    这两天在大量的给服务器添加密钥,有的服务器简单绑定下就行了。 但是京东云目前就毕竟弱了,得自己手动来。 目前京东云的服务器需要自己手动修改配置,才能用密钥登录服...

    速企云

扫码关注云+社区

领取腾讯云代金券