Uppdateringsramen (TUF), en öppen källkodsteknik som säkrar programuppdateringssystem, har blivit det första specifikationsprojektet som tog examen från Linux Foundation's Cloud Native Computing Foundation (CNCF). En specifikation - vanliga exempel på dessa är HTML och HTTP - gör att olika implementatörer kan skapa kärnfunktionalitet i en gemensam, exakt definierat sätt att lösa en uppgift. Justin Cappos, ledare för TUF -projektet och docent i datavetenskap och teknik vid NYU Tandon School of Engineering, är också den första akademiska forskaren som leder ett projekt som har tagit examen från CNCF.

Denna milstolpe betyder att TUF har uppnått den högsta mognadsnivån i CNCF -ekosystemet, vilket främjar utvecklingen och antagandet av molntekniker med öppen källkod. TUF har blivit industristandard för att säkra programuppdateringssystem, och används nu av de ledande leverantörerna av molnbaserade tjänster, inklusive Amazon-som nyligen släppte en anpassad öppen källkod version av TUF-Microsoft, Google, Cloudflare, Datadog, DigitalOcean, Hamnarbetare, IBM, Röd hatt, VMware, och många andra.

Denna senaste prestation är kulmen på ett decenniums arbete av Cappos och ett team av bidragsgivare som utvecklat TUF för att ta itu med den ofta komprometterade programvaruförvaren av cyberkriminella. Programvaruuppdateringar har länge varit främsta mål för hackare, och hotet från sådana attacker har vuxit i takt med att internetanslutna enheter har gått bortom datorer och smartphones för att inkludera medicinsk utrustning, bilar, och många andra enheter. TUF försvarar sig mot ett stort antal attacker, skydda slutanvändare från skadlig programvara även i scenarier där angripare har äventyrat ett arkiv eller en signeringsnyckel. TUF är utformad för att vara flexibel, underlätta dess införande i alla programuppdateringssystem.

"TUF har utformats så att en organisation inte behöver vara perfekt i sin operativa säkerhet, "sa Cappos." Om ett företag av misstag gör en signeringsnyckel offentlig, har en hackarbrytning in i deras programvarelager, eller om en missnöjd medarbetare blir oseriös, skadan de kan orsaka är begränsad. Fördjupat försvar är nyckeln till säkerhet, och säkerheten för mjukvaruuppdateringsinfrastrukturen är bland de mest kritiska problemen i praktiken. "

TUF, vars utveckling stöddes av National Science Foundation och U.S. Department of Homeland Security, valdes ut som ett projekt inom CNCF 2017. Samma år, Cappos, tillsammans med ett team av forskare från University of Michigan Transportation Research Institute och Southwest Research Institute utvecklat Uptane, fordonsapplikationen för TUF. Uptane har använts i stor utsträckning av biltillverkare - enligt prognoser, ungefär en tredjedel av modellbilarna 2023 på amerikanska vägar kommer att använda Uptane.

Större bidragsgivare till TUF inom NYU Tandon inkluderar doktorand Trishank Karthik Kuppusamy, nu chef för säkerhetslösningar på Datadog; nuvarande doktorander Santiago Torres och Marina Moore; och utvecklare Lukas Puehringer, tillsammans med tidigare utvecklare Sebastien Awwad (nu på Conda) och Vladimir Diaz, som deltog som en del av Cappos Secure Systems Lab. Teamet erkänner också det stora utbudet av bidrag till TUF från många organisationer, inklusive Docker, Tor, och Python, samt deltagare över CNCF -landskapet och bilindustrin.

"Vi går in i ett nytt årtionde där öppen källkodsprogramvara är genomgripande och uppdateras sömlöst i våra liv genom många enheter, "sa Chris Aniszczyk, CTO/COO för Cloud Native Computing Foundation. "Vi är glada över att se TUF säkra en viktig del av mjukvaruförsörjningskedjan och ser fram emot att fortsätta upprätthålla sitt samhälle i CNCF."

Förra månaden, en annan teknik som utvecklades av Cappos och Torres kom in i CNCF Sandbox. In-toto är ett gratis system med öppen källkod som kryptografiskt säkerställer integriteten hos mjukvaruförsörjningskedjan, ger en aldrig tidigare skådad nivå av säkerhet mot attacker.