15 دسامبر 2020توسط دانشکده مهندسی NYU Tandonاعتبار: دامنه عمومی CC0
نرم افزار زنجیره تأمین مدتهاست که هدف اصلی حملات سایبری قرار دارد و سرورها ، دستگاه های اینترنت اشیا ، رایانه های شخصی و تجهیزات متصل از دستگاه های جراحی تعبیه شده به اویونیک را در معرض خطر خرابکاری قرار می دهد. این خطرات با گسترش جهانی فن آوری های جدید مانند ارتباطات از راه دور 5G به طرز چشمگیری افزایش می یابد و ابزارهای جدیدی برای تأیید امنیت و اصالت پروژه های نرم افزاری مورد نیاز است. در برابر این شرایط ، in-toto ، ابزاری با منبع باز و توسعه یافته توسط محققان دانشکده مهندسی NYU Tandon که سطح اطمینان بی سابقه ای را در برابر چنین حملاتی فراهم می کند ، اعلام کرد که با انتشار اولین نسخه اصلی خود ، به یک نقطه عطف مهم در این زمینه رسیده است.
In-toto ، یک چارچوب رایگان و با کاربرد آسان که به طور رمزنگاری یکپارچگی نرم افزار زنجیره تأمین را تضمین می کند ، در سال 2016 توسط جاستین کاپوس ، استاد علوم و مهندسی کامپیوتر و سانتیاگو تورس-آریاس ، ایجاد شد. از زمان ظهور ، in-toto چندین پروژه مهم نرم افزار منبع آزاد ، از جمله پروژه های میزبان بنیاد رایانش ابری ، بخشی از بنیاد لینوکس ، به انتشار رسیده یا ادغام شده است. با عرضه نسخه 1.0 ، in-toto به مرحله ای از بلوغ رسیده است که توسعه دهندگان آن می توانند کیفیت آن را تضمین کرده و امنیت آن را برای پذیرندگان بالقوه تضمین کنند.
مانند بلاکچین برای فرآیند توسعه نرم افزار ، in-toto اطمینان حاصل می کند که تمام مراحل انجام شده روی یک قطعه نرم افزار در طول چرخه حیات طراحی و توسعه آن با ارائه اطلاعات مهم برای امنیت قابل اطمینان است. به دلیل غیرمتمرکز بودن توسعه نرم افزار ، فرایند چند مرحله ای نوشتن ، آزمایش ، بسته بندی و استقرار نرم افزار جدید فرصت های زیادی را برای وارد کردن کد های مخرب یا به خطر انداختن محصول نهایی برای مهاجمان فراهم می کند. در آزمایشات انجام شده در سال گذشته ، ایجاد بیش از 30 مورد در نرم افزار زنجیره تامین در شرایط واقعی که صدها میلیون کاربر را تحت تأثیر قرار داده انجام شده است. تیم NYU Tandon دریافت که in-toto به طور موثری از حداقل 83٪ از این حملات جلوگیری می کند.
تورس-آریاس ، که پروژه in-toto را رهبری می کند و پایان نامه خود را در این زمینه انجام داده ، برای اولین بار کار را در آگوست 2019 در سمپوزیوم امنیتی USENIX ارائه داد.
تورس-آریاس تأیید کرد: “همانطور که کار توسعه ازآزمایش به جمع بندی و در نهایت به توزیع می رسد ، یک نرم افزار از طریق چند دست عبور می کند.” “با الزام هر مرحله در این زنجیره مطابق با طرح مشخص شده توسط توسعه دهنده ، مانند اضافه کردن درهای پشتی به کد منبع به کاربر نهایی تأیید می کند که محصول برای اهداف مخرب تغییر نکرده است .
In-toto با اجازه دادن به هر شرکت یا سازمانی برای ایجاد مجموعه ای از قوانین یا پروتکل هایی که باید در هر مرحله از توسعه نرم افزار – و توسط چه کسی – رعایت شود ، کار می کند.
با تکمیل هر مرحله ، in-toto متاداده پیوند را جمع آوری می کند – عبارات قابل تأیید رمزنگاری شده مبنی بر اینکه مرحله مطابق با دستورالعمل ها انجام شده است. این فرایند یک دام امنیتی مشترک در زنجیره تامین را دور می زند. یعنی اینکه ردیابی فعالیتهای مخربی که در طی یک مرحله خاص از توسعه یا بسته بندی اتفاق می افتد دشوار است تا هنگام انتقال از یک مرحله به مرحله دیگر. فراداده پیوند ، كنترل بالایی بر روند ایجاد می كند و اطمینان حاصل می كند حتی ، می توان آن را بومی سازی و تأثیرات آن را محدود كرد.