CNCF宣布TUF毕业

Amazon、Datadog、谷歌、IBM、Microsoft、VMWare和其他领先的云原生公司都采用了该规范

旧金山，加利福尼亚 - 2019年12月18日 - 为云原生软件构建可持续生态系统的CNCF®（Cloud Native Computing Foundation®，云原生计算基金会）今天宣布，The Update Framework（TUF）是继Kubernetes、Prometheus、Envoy、CoreDNS、containerd、Fluentd、Jaeger和Vitess之后的第九个毕业项目。要使项目从孵化的成熟度级别过渡到毕业，它们必须展示出良好的采用、开放的治理过程，以及对社区、可持续性和包容性的强烈承诺。

https://theupdateframework.io/

https://github.com/cncf/toc/blob/master/process/graduation_criteria.adoc

TUF是一种保护软件更新系统的开源技术，它是毕业的第一个规范和第一个以安全为重点的项目。纽约大学坦顿工程学院（NYU Tandon School of engineering）计算机科学与工程副教授Justin Cappos最初在2009年开发了这个项目。Cappos也是第一个领导毕业项目的学术研究者，TUF也是第一个从大学毕业的项目。

https://engineering.nyu.edu/faculty/justin-cappos

“我们正在进入一个新的纪元，开源软件无处不在，并通过许多设备在我们的生活中无缝更新。”云原生计算基金会CTO/COO Chris Aniszczyk表示：“我们很高兴看到TUF保障了软件供应链的一个重要部分，并期待继续在CNCF维持他们的社区。”

TUF已经成为保护软件更新系统的行业事实上的标准。它被主要的基于云的服务供应商所利用，包括亚马逊 - 它最近发布了TUF的定制开源版本 - 微软、谷歌、Cloudflare、Datadog、DigitalOcean、Docker、IBM、RedHat、VMware等。

TUF于2017年被接受为CNCF项目。同年，Cappos与密歇根大学交通运输研究所和西南研究所的一组研究人员开发了TUF的汽车应用Uptane。Uptane已被汽车制造商广泛采用 - 据预测，在美国公路上行驶的2023型汽车中，大约有三分之一将使用Uptane。

https://uptane.github.io/

“我们设计TUF是为了让一个组织不需要在运营安全方面做到完美。”Cappos说：“如果一家公司不小心公开了一个签名密钥，有黑客侵入了他们的软件存储库，或者一名心怀不满的员工闹事，他们能造成的损害是有限的。深度防御是安全的关键，而软件更新基础设施的安全性是实践中最关键的问题之一。

纽约大学丹东分校的TUF的主要贡献者包括博士研究生Trishank Karthik Kuppusamy，现为Datadog的首席安全解决方案工程师。现任博士生Santiago Torres和Marina Moore；开发者Lukas Puehringer以及之前的开发者Sebastien Awwad和Vladimir Diaz，他们都是Cappos安全系统实验室的成员。该团队还感谢来自Docker、Tor、Python等组织的众多贡献，以及来自CNCF领域和汽车行业的参与者的广泛贡献。

https://ssl.engineering.nyu.edu/people

为正式从孵化阶段毕业，本项目已通过CNCF行为规范。它还定义了透明的开放治理，不仅获得了CII最佳实践，而且是第一个获得银徽章的CNCF项目。

https://github.com/theupdateframework/tuf/blob/develop/docs/CODE-OF-CONDUCT.md

https://github.com/theupdateframework/tuf/blob/develop/docs/GOVERNANCE.md

https://bestpractices.coreinfrastructure.org/projects/1351

TUF背景

TUF是在大约10年前推出的，它是一种构建系统弹性的方法，可以抵御关键的入侵和其他可能传播恶意软件或危及存储库的攻击。其设计背后的主要目标是：

• 提供一个框架（一组库、文件格式和实用程序），用于保护新的和现有的软件更新系统。
• 提供将关键折衷的影响最小化的方法。
• 具有足够的灵活性以满足各种软件更新系统的需求。
• 易于与现有的软件更新系统集成。

更多关于TUF的信息，请访问：https://theupdateframework.github.io/。