Het Update Framework (TUF), een open-sourcetechnologie die software-updatesystemen beveiligt, is het eerste specificatieproject geworden dat afstudeert van de Cloud Native Computing Foundation (CNCF) van de Linux Foundation. Een specificatie - veelvoorkomende voorbeelden hiervan zijn HTML en HTTP - stelt verschillende implementeerders in staat om kernfunctionaliteit te creëren in een gemeenschappelijk, nauwkeurig gedefinieerde manier om een ​​taak op te lossen. Justin Cappos, leider van het TUF-project en universitair hoofddocent informatica en engineering aan de NYU Tandon School of Engineering, is ook de eerste academische onderzoeker die een project leidt dat is afgestudeerd aan de CNCF.

Deze mijlpaal betekent dat TUF het hoogste niveau van volwassenheid in het CNCF-ecosysteem heeft bereikt, die de ontwikkeling en acceptatie van open-source cloudtechnologieën bevordert. TUF is de industriestandaard geworden voor het beveiligen van software-updatesystemen, en wordt nu gebruikt door de toonaangevende leveranciers van cloudgebaseerde diensten, waaronder Amazon - dat onlangs een aangepaste open-sourceversie van TUF heeft uitgebracht - Microsoft, Google, Wolkvlam, datahond, Digitale Oceaan, dokwerker, IBM, Rode Hoed, VMware, en vele anderen.

Deze laatste prestatie is het hoogtepunt van tien jaar werk van Cappos en een team van medewerkers die TUF hebben ontwikkeld om de frequente inbreuk op softwarebronnen door cybercriminelen aan te pakken. Software-updates zijn lange tijd het belangrijkste doelwit geweest voor hackers, en de dreiging die uitgaat van dergelijke aanvallen is toegenomen naarmate apparaten die met internet zijn verbonden, verder zijn gegaan dan computers en smartphones om medische apparatuur te omvatten, auto's, en vele andere apparaten. TUF verdedigt tegen een breed scala aan aanvallen, het beschermen van eindgebruikers tegen schadelijke software, zelfs in scenario's waarin aanvallers een repository of ondertekeningssleutel hebben gecompromitteerd. TUF is ontworpen om flexibel te zijn, de acceptatie ervan in elk software-updatesysteem te vergemakkelijken.

"TUF is zo ontworpen dat een organisatie niet perfect hoeft te zijn in hun operationele beveiliging, ", aldus Cappos. "Als een bedrijf per ongeluk een handtekeningsleutel openbaar maakt, heeft een hacker ingebroken in hun softwarerepository, of als een ontevreden werknemer schurkenstaat, de schade die ze kunnen aanrichten is beperkt. Diepgaande verdediging is de sleutel tot veiligheid, en de veiligheid van de software-update-infrastructuur is een van de meest kritische zorgen in de praktijk."

TUF, wiens ontwikkeling werd ondersteund door de National Science Foundation en het Amerikaanse ministerie van Binnenlandse Veiligheid, werd in 2017 geselecteerd als project binnen het CNCF. Capo's, samen met een team van onderzoekers van de University of Michigan Transportation Research Institute en Southwest Research Institute ontwikkelde Uptane, de automobieltoepassing van TUF. Uptane is op grote schaal overgenomen door autofabrikanten - volgens projecties, ongeveer een derde van de modelauto's van 2023 op de Amerikaanse wegen zal Uptane gebruiken.

Belangrijke bijdragen aan TUF binnen NYU Tandon zijn onder meer doctoraal afgestudeerde Trishank Karthik Kuppusamy, nu chief security solutions engineer bij Datadog; huidige promovendi Santiago Torres en Marina Moore; en ontwikkelaar Lukas Puehringer, samen met voormalige ontwikkelaars Sebastien Awwad (nu bij Conda) en Vladimir Diaz, die deelnamen als onderdeel van Cappos' Secure Systems Lab. Het team erkent ook het brede scala aan bijdragen aan TUF van vele organisaties, waaronder Docker, Tor, en Python, evenals deelnemers in het CNCF-landschap en de auto-industrie.

"We gaan een nieuw decennium in waarin open source software alomtegenwoordig is en naadloos wordt bijgewerkt gedurende ons hele leven via vele apparaten, " zei Chris Aniszczyk, CTO/COO van de Cloud Native Computing Foundation. "We zijn verheugd om te zien dat TUF een belangrijk onderdeel van de softwaretoeleveringsketen beveiligt en kijken ernaar uit om hun gemeenschap in de CNCF te blijven ondersteunen."

Vorige maand, een andere technologie die gezamenlijk is ontwikkeld door Cappos en Torres, kwam in de CNCF Sandbox terecht. In-toto is een gratis open-sourcesysteem dat cryptografisch de integriteit van de softwaretoeleveringsketen waarborgt, biedt een ongekend niveau van zekerheid tegen aanvallen.