使用 in-Toto 实施可执行的软件供应链策略和证明

使用 in-Toto 实施可执行的软件供应链策略和证明 - 普渡大学的 Alan Chung Ma 和 Santiago Torres-Arias。2020 年的 SUNBURST 攻击（SolarWinds）已成为软件社区的典型案例，说明可能出现什么问题。为了满足新的网络安全法规，软件生产商正在捕获显示其供应链完整性的元数据。CNCF 项目（如 in-toto/Witness）捕获有关软件供应链操作的机器可验证证明。SLSA 等框架提供了有关要生成的证明类型的指导。然而，此类证明的真正价值在于根据严格的安全策略对其进行验证，这些策略强制执行消费者对其软件供应链完整性的期望。在此演讲中，我们将逐步介绍可以抵御备受瞩目的供应链攻击的具体策略。我们深入研究了 TAG-Security 的供应链攻击目录（如 SUNBURST），并描述了如何配置 in-toto 以降低此类攻击的可能性。