in-toto

Estamos viendo un mayor uso de la certificación Binaria para asegurar la cadena de suministro de software, particularmente dentro de las industrias reguladas. Los enfoques actualmente preferidos parecen involucrar la construcción de un sistema personalizado para implementar la verificación binaria o confiar en el servicio de un proveedor de la nube. Nos alienta ver la herramienta open-source in-toto entrar en este espacio. In-toto es un framework para verificar criptográficamente cada componente y avanzar hacia el camino a producción de un artefacto de software. El proyecto incluye una serie de integraciones en muchas herramientas de compilación, auditoría de contenedores y despliegue ampliamente utilizadas. Una herramienta de cadena de suministro de software puede ser una pieza crítica del aparato de seguridad de una organización, por lo que nos gusta que, como proyecto open-source, el comportamiento de in-toto sea transparente y la comunidad pueda verificar su propia integridad y cadena de suministro. Tendremos que esperar y mirar si ganará un grupo grande de usuarios y contribuidores para competir en este espacio.