近年来,发生了多次网络攻击,这些攻击破坏了软件开发人员的网络,使得无法在软件更新内传递恶意软件。这种情况是Update Framework(TUF)开源项目的创始人Justin Cappos一直在努力解决。
卡普波斯(Cappos)是纽约大学(NYU)的助理教授,近十年前创立了TUF。TUF现在由多个软件项目实现,包括用于安全容器应用程序更新的Docker Notary项目,并且其实现也专门用于帮助保护汽车软件。
在接受eWEEK的视频采访中,Cappos解释了TUF在现代威胁领域中为何很重要以及它如何继续发展。
Cappos说:“ TUF有助于确保您的组织已决定应对其进行签名的软件可以安全地(最终用户)与各方(用户)联系在一起。”
TUF 定义了一种系统,在该系统中,以经过验证的方式对软件更新进行了加密签名和保护,以帮助最大程度地降低软件篡改的风险。近年来发生了多起事件,其中包括涉及cCleaner的事件,其中攻击者能够渗透和破坏开发系统,以将恶意更新发送给用户。
TUF云原生计算基金会项目
TUF 与Notary项目一起于2017年10月成为 Cloud Native Computing Foundation(CNCF)项目。CNCF是Linux Foundation合作项目,并且是多个技术项目(包括Kubernetes容器编排系统)的所在地。Cappos说,作为CNCF的一部分,在进行适当的治理和验证方面,已经帮助推进了TUF项目。CNCF还有助于促进TUF和项目正在进行的工作。
Cappos坚信拥有安全的软件更新机制应该是安全合规性的要求。他强调说,拥有安全更新不仅仅涉及对数字签名进行更新,还具有像TUF这样的机制来验证签名和所提供软件的完整性。
根据Cappos的说法,目前特别关注软件更新的是物联网(IoT)技术,尤其是医疗设备和电网,如果将恶意更新传递到这些系统,则可能会产生严重影响。
Cappos说:“如果这些问题不能在这些领域(IoT)中解决,人们将死亡。”