更新框架如何提高軟件分發(fā)安全性

近年來(lái)，發(fā)生了多次網(wǎng)絡(luò)攻擊，這些攻擊破壞了軟件開(kāi)發(fā)人員的網(wǎng)絡(luò)，使得無(wú)法在軟件更新內(nèi)傳遞惡意軟件。這種情況是Update Framework(TUF)開(kāi)源項(xiàng)目的創(chuàng)始人Justin Cappos一直在努力解決。

卡普波斯(Cappos)是紐約大學(xué)(NYU)的助理教授，近十年前創(chuàng)立了TUF。TUF現(xiàn)在由多個(gè)軟件項(xiàng)目實(shí)現(xiàn)，包括用于安全容器應(yīng)用程序更新的Docker Notary項(xiàng)目，并且其實(shí)現(xiàn)也專(zhuān)門(mén)用于幫助保護(hù)汽車(chē)軟件。

在接受eWEEK的視頻采訪中，Cappos解釋了TUF在現(xiàn)代威脅領(lǐng)域中為何很重要以及它如何繼續(xù)發(fā)展。

Cappos說(shuō)：“ TUF有助于確保您的組織已決定應(yīng)對(duì)其進(jìn)行簽名的軟件可以安全地(最終用戶)與各方(用戶)聯(lián)系在一起。”

TUF 定義了一種系統(tǒng)，在該系統(tǒng)中，以經(jīng)過(guò)驗(yàn)證的方式對(duì)軟件更新進(jìn)行了加密簽名和保護(hù)，以幫助最大程度地降低軟件篡改的風(fēng)險(xiǎn)。近年來(lái)發(fā)生了多起事件，其中包括涉及cCleaner的事件，其中攻擊者能夠滲透和破壞開(kāi)發(fā)系統(tǒng)，以將惡意更新發(fā)送給用戶。

TUF云原生計(jì)算基金會(huì)項(xiàng)目

TUF 與Notary項(xiàng)目一起于2017年10月成為 Cloud Native Computing Foundation(CNCF)項(xiàng)目。CNCF是Linux Foundation合作項(xiàng)目，并且是多個(gè)技術(shù)項(xiàng)目(包括Kubernetes容器編排系統(tǒng))的所在地。Cappos說(shuō)，作為CNCF的一部分，在進(jìn)行適當(dāng)?shù)闹卫砗万?yàn)證方面，已經(jīng)幫助推進(jìn)了TUF項(xiàng)目。CNCF還有助于促進(jìn)TUF和項(xiàng)目正在進(jìn)行的工作。

Cappos堅(jiān)信擁有安全的軟件更新機(jī)制應(yīng)該是安全合規(guī)性的要求。他強(qiáng)調(diào)說(shuō)，擁有安全更新不僅僅涉及對(duì)數(shù)字簽名進(jìn)行更新，還具有像TUF這樣的機(jī)制來(lái)驗(yàn)證簽名和所提供軟件的完整性。

根據(jù)Cappos的說(shuō)法，目前特別關(guān)注軟件更新的是物聯(lián)網(wǎng)(IoT)技術(shù)，尤其是醫(yī)療設(shè)備和電網(wǎng)，如果將惡意更新傳遞到這些系統(tǒng)，則可能會(huì)產(chǎn)生嚴(yán)重影響。

Cappos說(shuō)：“如果這些問(wèn)題不能在這些領(lǐng)域(IoT)中解決，人們將死亡。”