in-toto 提供了一个框架来保护软件供应链的完整性,确保软件产品从启动到最终用户安装的完整和安全性。它规定了软件的供应过程应当执行哪些步骤、由谁执行以及以什么顺序执行。
in-toto 需要项目所有者创建布局,布局列出了软件供应链的步骤顺序,以及授权执行这些步骤的人员。当一个工作人员执行一个步骤时,会收集有关使用的命令和相关文件的信息,并将其存储在链接元数据文件中。该链接文件提供了建立连续的链所需的证据,可以根据布局中定义的步骤进行验证。
由项目所有者签署的布局,以及由指定人员签署的链接会作为最终产品的一部分发布,且可以手动或通过自动化工具(例如包管理器)进行验证。
入门
安装
in-toto 可以通过pip在PyPI上可用,参阅 in-toto.readthedocs.io 以了解系统依赖项以及安装替代方案和建议。
pip install in-toto创建布局、运行供应链步骤,并验证最终产品
布局
软件供应链布局由以下部分组成:
- 截止日期
- 自述文件(供应链的可选描述)
- 功能密钥(公钥,用于验证链接元数据签名)
- 签名(使用项目所有者密钥创建的一个或多个布局签名)
- 软件供应链步骤 对应于作为软件供应链一部分的职能人员执行的步骤。布局中定义的步骤列出了有权执行该步骤的工作人员(通过密钥 ID)。
in-toto步骤需要一个唯一的名称,以便将它们(在验证时)与在工作人员使用工具执行步骤时创建的链接元数据相关联。此外,步骤必须具有定义步骤应该操作的文件的材料和产品规则。 - 检查 定义要在验证过程中运行的命令,还可以列出材料和产品规则。
查看演示布局创建示例 ,了解如何创建整体布局。
-
问题内容: 我正在建立一个Drupal网站,其中包含许多将使用jQuery / ajax发布的用户特定信息。它自身的信息不是很敏感,仅重要的是验证表单数据是否已被诸如Firebug之类的工具篡改,并确保确实已从指定用户请求该信息。换句话说,我正在尝试找出用ajax发布时保护数据完整性和真实性的最佳方法。 理想情况下,我想使用一些众所周知的消息身份验证系统,例如HMAC算法。但是,由于它包含对称密钥
-
目前我尝试使用Zend Framework 2的CSRF保护。 但每次我发送表单时,都会收到以下错误消息: 提交的表格不是来自预期的网站 我以这种方式实施了CSRF保护: 1)创建了一个Form Class并添加了csrf: 2)在view文件中呼应csrf元素: 我发现csrf令牌没有存储在会话中,但是为什么呢?
-
1.1.1.完整性 Android是一个完整的平台,即为移动设备提供的一套完整的软件架构。 面向开发者,Android提供了一套完整的工具和框架,以简化开发过程、提高开发效率。想要开发Android应用的话,Android SDK就是你所需的一切——甚至不需要一台真正的手机。 面向用户,Android开机即用。而且,用户可以按照自己的喜好做出相当程度的自定义。 面向生产厂商,Android就是令他
-
Hotlink Protection可防止其他网站直接从您的网站加载数据。 例如,当有人链接您网站上的图片以加载他的网站时,当访问者访问其他网站时,图像会从您的网站加载消耗您的带宽。 热链接保护可以防止这种情况发生。 如果启用了Hotlink Protection,其他网站将无法直接链接到您网站上的任何文件。 要使用此功能,请按照下列步骤操作 - Step 1 - 单击cPanel home的“安
-
完整的利用链 至此,我们已经讨论了很多方面来说明如何远程漏洞利用这辆吉普和类似的车型。目前为止,这些信息已经足够你实现完整的漏洞利用,但是我们想要总结一下漏洞链是如何自始至终发挥作用的。 识别目标 你需要车辆的IP地址。你可以随便选择一个或写一个蠕虫来入侵所有的车辆。如果你知道汽车的VIN或GPS,你可以根据你所了解的车辆停留位置来扫描其IP范围,直到发现对应的VIN或GPS。由于Sprint网络