菜单
工具

in-toto

NOT ON THE CURRENT EDITION
This blip is not on the current edition of the radar. If it was on one of the last few editions it is likely that it is still relevant. If the blip is older it might no longer be relevant and our assessment might be different today. Unfortunately, we simply don't have the bandwidth to continuously review blips from previous editions of the radarUnderstand more
Nov 2019
评估?

我们注意到,越来越多的地方,尤其是在受监管的行业,为了确保软件的供应链安全会使用二进制验证。当前主流的做法,或是构建一个定制的二进制验证系统,亦或是依赖于某个云厂商提供的服务。我们高兴地看到出现了开源的in-toto项目。In-toto是一个框架,能够以密码学的方式验证软件制品生产路径上的每个组件和步骤。该项目可以与众多广泛使用的构建工具、容器审计工具和部署工具进行集成。由于软件供应链工具是一个组织的安全设施中至关重要的部分,因此我们非常喜欢in-toto。作为一个开源项目,它的行为是透明的,并且其自身的完整性和供应链也可以由社区进行验证。至于它是否会赢得足够多的用户和贡献者以在这个领域竞争,我们拭目以待。