近年來(lái)，發(fā)生了多次網(wǎng)絡(luò )攻擊，這些攻擊破壞了軟件開(kāi)發(fā)人員的網(wǎng)絡(luò )，使得無(wú)法在軟件更新內傳遞惡意軟件。這種情況是Update Framework(TUF)開(kāi)源項目的創(chuàng )始人Justin Cappos一直在努力解決。

卡普波斯(Cappos)是紐約大學(xué)(NYU)的助理教授，近十年前創(chuàng )立了TUF。TUF現在由多個(gè)軟件項目實(shí)現，包括用于安全容器應用程序更新的Docker Notary項目，并且其實(shí)現也專(zhuān)門(mén)用于幫助保護汽車(chē)軟件。

在接受eWEEK的視頻采訪(fǎng)中，Cappos解釋了TUF在現代威脅領(lǐng)域中為何很重要以及它如何繼續發(fā)展。

Cappos說(shuō)：“ TUF有助于確保您的組織已決定應對其進(jìn)行簽名的軟件可以安全地(最終用戶(hù))與各方(用戶(hù))聯(lián)系在一起。”

TUF 定義了一種系統，在該系統中，以經(jīng)過(guò)驗證的方式對軟件更新進(jìn)行了加密簽名和保護，以幫助最大程度地降低軟件篡改的風(fēng)險。近年來(lái)發(fā)生了多起事件，其中包括涉及cCleaner的事件，其中攻擊者能夠滲透和破壞開(kāi)發(fā)系統，以將惡意更新發(fā)送給用戶(hù)。

TUF云原生計算基金會(huì )項目

TUF 與Notary項目一起于2017年10月成為 Cloud Native Computing Foundation(CNCF)項目。CNCF是Linux Foundation合作項目，并且是多個(gè)技術(shù)項目(包括Kubernetes容器編排系統)的所在地。Cappos說(shuō)，作為CNCF的一部分，在進(jìn)行適當的治理和驗證方面，已經(jīng)幫助推進(jìn)了TUF項目。CNCF還有助于促進(jìn)TUF和項目正在進(jìn)行的工作。

Cappos堅信擁有安全的軟件更新機制應該是安全合規性的要求。他強調說(shuō)，擁有安全更新不僅僅涉及對數字簽名進(jìn)行更新，還具有像TUF這樣的機制來(lái)驗證簽名和所提供軟件的完整性。

根據Cappos的說(shuō)法，目前特別關(guān)注軟件更新的是物聯(lián)網(wǎng)(IoT)技術(shù)，尤其是醫療設備和電網(wǎng)，如果將惡意更新傳遞到這些系統，則可能會(huì )產(chǎn)生嚴重影響。

Cappos說(shuō)：“如果這些問(wèn)題不能在這些領(lǐng)域(IoT)中解決，人們將死亡。”