Il quadro di aggiornamento (TUF), una tecnologia open source che protegge i sistemi di aggiornamento del software, è diventato il primo progetto di specifica a laurearsi presso la Cloud Native Computing Foundation (CNCF) della Linux Foundation. Una specifica, di cui esempi comuni sono HTML e HTTP, consente a diversi implementatori di creare funzionalità di base in un comune, modo ben definito per risolvere un compito. Giustino Cappo, capo del progetto TUF e professore associato di informatica e ingegneria presso la NYU Tandon School of Engineering, è anche il primo ricercatore accademico a guidare un progetto laureato al CNCF.

Questa pietra miliare significa che TUF ha raggiunto il più alto livello di maturità nell'ecosistema CNCF, che promuove lo sviluppo e l'adozione di tecnologie cloud open source. TUF è diventato lo standard del settore per la protezione dei sistemi di aggiornamento software, ed è ora utilizzato dai principali fornitori di servizi basati su cloud, incluso Amazon, che ha recentemente rilasciato una versione open source personalizzata di TUF, Microsoft, Google, Fiammata di nuvole, Datadog, Oceano digitale, Dock, IBM, Cappello rosso, VMware, e molti altri.

Quest'ultimo risultato è il culmine di un decennio di lavoro di Cappos e di un team di collaboratori che hanno sviluppato TUF per affrontare la frequente compromissione dei repository software da parte dei criminali informatici. Gli aggiornamenti software sono stati a lungo gli obiettivi principali degli hacker, e la minaccia rappresentata da tali attacchi è cresciuta poiché i dispositivi connessi a Internet sono andati oltre i computer e gli smartphone per includere apparecchiature mediche, automobili, e molti altri dispositivi. TUF difende da una vasta gamma di attacchi, proteggere gli utenti finali da software dannoso anche in scenari in cui gli aggressori hanno compromesso un repository o una chiave di firma. TUF è progettato per essere flessibile, facilitandone l'adozione in qualsiasi sistema di aggiornamento software.

"TUF è stato progettato in modo che un'organizzazione non debba essere perfetta nella sua sicurezza operativa, " ha detto Cappos. "Se un'azienda rende pubblica accidentalmente una chiave di firma, ha un hacker che irrompe nel loro repository di software, o se un dipendente scontento diventa canaglia, il danno che possono causare è limitato. La difesa in profondità è fondamentale per la sicurezza, e la sicurezza dell'infrastruttura di aggiornamento software è tra le preoccupazioni più critiche nella pratica."

TUF, il cui sviluppo è stato sostenuto dalla National Science Foundation e dal Dipartimento per la sicurezza interna degli Stati Uniti, è stato selezionato come progetto all'interno del CNCF nel 2017. Nello stesso anno, Cappo, insieme a un team di ricercatori dell'Università del Michigan Transportation Research Institute e Southwest Research Institute ha sviluppato Uptane, l'applicazione automobilistica del TUF. Uptane è stato ampiamente adottato dalle case automobilistiche, secondo le proiezioni, circa un terzo dei modelli di auto del 2023 sulle strade degli Stati Uniti utilizzerà Uptane.

I principali contributori al TUF all'interno della NYU Tandon includono il dottorando Trishank Karthik Kuppusamy, ora ingegnere capo delle soluzioni di sicurezza presso Datadog; gli attuali dottorandi Santiago Torres e Marina Moore; e sviluppatore Lukas Puehringer, insieme agli ex sviluppatori Sebastien Awwad (ora a Conda) e Vladimir Diaz, che ha partecipato come parte del Secure Systems Lab di Cappos. Il team riconosce anche l'ampia gamma di contributi al TUF da molte organizzazioni tra cui Docker, Tor, e Pitone, così come i partecipanti attraverso il panorama CNCF e l'industria automobilistica.

"Stiamo entrando in un nuovo decennio in cui il software open source è pervasivo e aggiornato senza soluzione di continuità nelle nostre vite attraverso molti dispositivi, "ha detto Chris Aniszczyk, CTO/COO della Cloud Native Computing Foundation. "Siamo entusiasti di vedere TUF assicurarsi una parte importante della catena di fornitura del software e non vediamo l'ora di continuare a sostenere la loro comunità nel CNCF".

Lo scorso mese, un'altra tecnologia co-sviluppata da Cappos e Torres è entrata nel CNCF Sandbox. In-toto è un sistema open source gratuito che assicura crittograficamente l'integrità della catena di fornitura del software, fornendo un livello di sicurezza senza precedenti contro gli attacchi.