近年來,發(fā)生了多次網(wǎng)絡(luò)攻擊,這些攻擊破壞了軟件開發(fā)人員的網(wǎng)絡(luò),使得無法在軟件更新內(nèi)傳遞惡意軟件。這種情況是Update Framework(TUF)開源項(xiàng)目的創(chuàng)始人Justin Cappos一直在努力解決。
卡普波斯(Cappos)是紐約大學(xué)(NYU)的助理教授,近十年前創(chuàng)立了TUF。TUF現(xiàn)在由多個(gè)軟件項(xiàng)目實(shí)現(xiàn),包括用于安全容器應(yīng)用程序更新的Docker Notary項(xiàng)目,并且其實(shí)現(xiàn)也專門用于幫助保護(hù)汽車軟件。
在接受eWEEK的視頻采訪中,Cappos解釋了TUF在現(xiàn)代威脅領(lǐng)域中為何很重要以及它如何繼續(xù)發(fā)展。
Cappos說:“ TUF有助于確保您的組織已決定應(yīng)對(duì)其進(jìn)行簽名的軟件可以安全地(最終用戶)與各方(用戶)聯(lián)系在一起。”
TUF 定義了一種系統(tǒng),在該系統(tǒng)中,以經(jīng)過驗(yàn)證的方式對(duì)軟件更新進(jìn)行了加密簽名和保護(hù),以幫助最大程度地降低軟件篡改的風(fēng)險(xiǎn)。近年來發(fā)生了多起事件,其中包括涉及cCleaner的事件,其中攻擊者能夠滲透和破壞開發(fā)系統(tǒng),以將惡意更新發(fā)送給用戶。
TUF云原生計(jì)算基金會(huì)項(xiàng)目
TUF 與Notary項(xiàng)目一起于2017年10月成為 Cloud Native Computing Foundation(CNCF)項(xiàng)目。CNCF是Linux Foundation合作項(xiàng)目,并且是多個(gè)技術(shù)項(xiàng)目(包括Kubernetes容器編排系統(tǒng))的所在地。Cappos說,作為CNCF的一部分,在進(jìn)行適當(dāng)?shù)闹卫砗万?yàn)證方面,已經(jīng)幫助推進(jìn)了TUF項(xiàng)目。CNCF還有助于促進(jìn)TUF和項(xiàng)目正在進(jìn)行的工作。
Cappos堅(jiān)信擁有安全的軟件更新機(jī)制應(yīng)該是安全合規(guī)性的要求。他強(qiáng)調(diào)說,擁有安全更新不僅僅涉及對(duì)數(shù)字簽名進(jìn)行更新,還具有像TUF這樣的機(jī)制來驗(yàn)證簽名和所提供軟件的完整性。
根據(jù)Cappos的說法,目前特別關(guān)注軟件更新的是物聯(lián)網(wǎng)(IoT)技術(shù),尤其是醫(yī)療設(shè)備和電網(wǎng),如果將惡意更新傳遞到這些系統(tǒng),則可能會(huì)產(chǎn)生嚴(yán)重影響。
Cappos說:“如果這些問題不能在這些領(lǐng)域(IoT)中解決,人們將死亡。”