CNCF宣布TUF毕业
Amazon、Datadog、谷歌、IBM、Microsoft、VMWare和其他领先的云原生公司都采用了该规范
旧金山,加利福尼亚 - 2019年12月18日 - 为云原生软件构建可持续生态系统的CNCF®(Cloud Native Computing Foundation®,云原生计算基金会)今天宣布,The Update Framework(TUF)是继Kubernetes、Prometheus、Envoy、CoreDNS、containerd、Fluentd、Jaeger和Vitess之后的第九个毕业项目。要使项目从孵化的成熟度级别过渡到毕业,它们必须展示出良好的采用、开放的治理过程,以及对社区、可持续性和包容性的强烈承诺。
https://theupdateframework.io/
https://github.com/cncf/toc/blob/master/process/graduation_criteria.adoc
TUF是一种保护软件更新系统的开源技术,它是毕业的第一个规范和第一个以安全为重点的项目。纽约大学坦顿工程学院(NYU Tandon School of engineering)计算机科学与工程副教授Justin Cappos最初在2009年开发了这个项目。Cappos也是第一个领导毕业项目的学术研究者,TUF也是第一个从大学毕业的项目。
https://engineering.nyu.edu/faculty/justin-cappos
“我们正在进入一个新的纪元,开源软件无处不在,并通过许多设备在我们的生活中无缝更新。”云原生计算基金会CTO/COO Chris Aniszczyk表示:“我们很高兴看到TUF保障了软件供应链的一个重要部分,并期待继续在CNCF维持他们的社区。”
TUF已经成为保护软件更新系统的行业事实上的标准。它被主要的基于云的服务供应商所利用,包括亚马逊 - 它最近发布了TUF的定制开源版本 - 微软、谷歌、Cloudflare、Datadog、DigitalOcean、Docker、IBM、RedHat、VMware等。
TUF于2017年被接受为CNCF项目。同年,Cappos与密歇根大学交通运输研究所和西南研究所的一组研究人员开发了TUF的汽车应用Uptane。Uptane已被汽车制造商广泛采用 - 据预测,在美国公路上行驶的2023型汽车中,大约有三分之一将使用Uptane。
https://uptane.github.io/
“我们设计TUF是为了让一个组织不需要在运营安全方面做到完美。”Cappos说:“如果一家公司不小心公开了一个签名密钥,有黑客侵入了他们的软件存储库,或者一名心怀不满的员工闹事,他们能造成的损害是有限的。深度防御是安全的关键,而软件更新基础设施的安全性是实践中最关键的问题之一。
纽约大学丹东分校的TUF的主要贡献者包括博士研究生Trishank Karthik Kuppusamy,现为Datadog的首席安全解决方案工程师。现任博士生Santiago Torres和Marina Moore;开发者Lukas Puehringer以及之前的开发者Sebastien Awwad和Vladimir Diaz,他们都是Cappos安全系统实验室的成员。该团队还感谢来自Docker、Tor、Python等组织的众多贡献,以及来自CNCF领域和汽车行业的参与者的广泛贡献。
https://ssl.engineering.nyu.edu/people
为正式从孵化阶段毕业,本项目已通过CNCF行为规范。它还定义了透明的开放治理,不仅获得了CII最佳实践,而且是第一个获得银徽章的CNCF项目。
https://github.com/theupdateframework/tuf/blob/develop/docs/CODE-OF-CONDUCT.md
https://github.com/theupdateframework/tuf/blob/develop/docs/GOVERNANCE.md
https://bestpractices.coreinfrastructure.org/projects/1351
TUF背景
TUF是在大约10年前推出的,它是一种构建系统弹性的方法,可以抵御关键的入侵和其他可能传播恶意软件或危及存储库的攻击。其设计背后的主要目标是:
- 提供一个框架(一组库、文件格式和实用程序),用于保护新的和现有的软件更新系统。
- 提供将关键折衷的影响最小化的方法。
- 具有足够的灵活性以满足各种软件更新系统的需求。
- 易于与现有的软件更新系统集成。
更多关于TUF的信息,请访问:https://theupdateframework.github.io/。