Le cadre de mise à jour (TUF), une technologie open source qui sécurise les systèmes de mise à jour des logiciels, est devenu le premier projet de spécification à être diplômé de la Cloud Native Computing Foundation (CNCF) de la Linux Foundation. Une spécification, dont les exemples courants sont HTML et HTTP, permet à différents implémenteurs de créer des fonctionnalités de base dans un façon définie avec précision pour résoudre une tâche. Justin Cappos, chef du projet TUF et professeur agrégé d'informatique et d'ingénierie à la NYU Tandon School of Engineering, est également le premier chercheur universitaire à mener un projet diplômé du CNCF.

Ce jalon signifie que TUF a atteint le plus haut niveau de maturité de l'écosystème CNCF, qui favorise le développement et l'adoption de technologies cloud open source. TUF est devenu la norme de l'industrie pour la sécurisation des systèmes de mise à jour logicielle, et est maintenant utilisé par les principaux fournisseurs de services basés sur le cloud, y compris Amazon - qui a récemment publié une version open source personnalisée de TUF - Microsoft, Google, Éclat de nuage, Datadog, Océan numérique, Docker, IBM, Chapeau rouge, VMware, et plein d'autres.

Cette dernière réalisation est l'aboutissement d'une décennie de travail de Cappos et d'une équipe de contributeurs qui ont développé TUF pour lutter contre la fréquente compromission des référentiels de logiciels par les cybercriminels. Les mises à jour logicielles ont longtemps été des cibles privilégiées pour les pirates, et la menace posée par de telles attaques a augmenté à mesure que les appareils connectés à Internet ont dépassé les ordinateurs et les smartphones pour inclure les équipements médicaux, automobile, et bien d'autres appareils. TUF se défend contre un large éventail d'attaques, protéger les utilisateurs finaux contre les logiciels malveillants, même dans les scénarios où les attaquants ont compromis un référentiel ou une clé de signature. TUF est conçu pour être flexible, facilitant son adoption dans tout système de mise à jour logicielle.

"TUF a été conçu pour qu'une organisation n'ait pas besoin d'être parfaite dans sa sécurité opérationnelle, " a déclaré Cappos. " Si une entreprise rend publiquement une clé de signature, un pirate informatique s'est introduit dans son référentiel de logiciels, ou si un employé mécontent devient voyou, les dommages qu'ils peuvent causer sont limités. La défense en profondeur est la clé de la sécurité, et la sécurité de l'infrastructure de mise à jour logicielle est l'une des préoccupations les plus critiques dans la pratique."

TUF, dont le développement a été soutenu par la National Science Foundation et le département américain de la Sécurité intérieure, a été sélectionné comme projet au sein du CNCF en 2017. Cette même année, Cappos, avec une équipe de chercheurs de l'Institut de recherche sur les transports de l'Université du Michigan et de l'Institut de recherche du Sud-Ouest ont développé Uptane, l'application automobile de TUF. Uptane a été largement adopté par les constructeurs automobiles - selon les projections, environ un tiers des voitures modèles 2023 sur les routes des États-Unis utiliseront Uptane.

Les principaux contributeurs à TUF au sein de NYU Tandon comprennent le doctorant Trishank Karthik Kuppusamy, aujourd'hui ingénieur en chef des solutions de sécurité chez Datadog; les doctorants actuels Santiago Torres et Marina Moore; et développeur Lukas Puehringer, avec les anciens développeurs Sébastien Awwad (maintenant chez Conda) et Vladimir Diaz, qui ont participé dans le cadre du Secure Systems Lab de Cappos. L'équipe reconnaît également le large éventail de contributions à TUF de nombreuses organisations, notamment Docker, Tor, et Python, ainsi que des participants du paysage CNCF et de l'industrie automobile.

« Nous entrons dans une nouvelle décennie où les logiciels open source sont omniprésents et mis à jour de manière transparente dans nos vies via de nombreux appareils, " a déclaré Chris Aniszczyk, CTO/COO de la Cloud Native Computing Foundation. "Nous sommes ravis de voir TUF sécuriser une partie importante de la chaîne d'approvisionnement logicielle et nous sommes impatients de continuer à soutenir leur communauté au sein de la CNCF."

Le mois dernier, une autre technologie co-développée par Cappos et Torres est entrée dans la CNCF Sandbox. In-toto est un système open source gratuit qui garantit cryptographiquement l'intégrité de la chaîne d'approvisionnement logicielle, offrant un niveau d'assurance sans précédent contre les attaques.