El marco de actualización (TUF), una tecnología de código abierto que protege los sistemas de actualización de software, se ha convertido en el primer proyecto de especificación en graduarse de la Fundación de Computación Nativa en la Nube (CNCF) de la Fundación Linux. Una especificación, cuyos ejemplos comunes son HTML y HTTP, permite a diferentes implementadores crear una funcionalidad central en un forma definida con precisión de resolver una tarea. Justin Cappos, líder del proyecto TUF y profesor asociado de ciencias de la computación e ingeniería en NYU Tandon School of Engineering, también es el primer investigador académico en liderar un proyecto egresado de la CNCF.

Este hito significa que TUF ha alcanzado el más alto nivel de madurez en el ecosistema CNCF, que fomenta el desarrollo y la adopción de tecnologías de nube de código abierto. TUF se ha convertido en el estándar de la industria para proteger los sistemas de actualización de software, y ahora lo utilizan los principales proveedores de servicios basados ​​en la nube, incluido Amazon, que recientemente lanzó una versión personalizada de código abierto de TUF, Microsoft, Google, Cloudflare, Datadog, DigitalOcean, Estibador, IBM, Sombrero rojo, VMware, y muchos otros.

Este último logro es la culminación de una década de trabajo por parte de Cappos y un equipo de colaboradores que desarrollaron TUF para abordar el compromiso frecuente de los repositorios de software por parte de los ciberdelincuentes. Las actualizaciones de software han sido durante mucho tiempo los principales objetivos de los piratas informáticos, y la amenaza planteada por tales ataques ha crecido a medida que los dispositivos conectados a Internet se han movido más allá de las computadoras y los teléfonos inteligentes para incluir equipos médicos, automóviles, y muchos otros dispositivos. TUF defiende contra una amplia gama de ataques, proteger a los usuarios finales del software malintencionado incluso en escenarios en los que los atacantes han comprometido un repositorio o una clave de firma. TUF está diseñado para ser flexible, facilitando su adopción en cualquier sistema de actualización de software.

"TUF fue diseñado para que una organización no necesite ser perfecta en su seguridad operativa, ", dijo Cappos." Si una empresa hace pública accidentalmente una clave de firma, tiene un pirata informático que irrumpe en su repositorio de software, o si un empleado descontento se vuelve deshonesto, el daño que pueden causar es limitado. La defensa en profundidad es clave para la seguridad, y la seguridad de la infraestructura de actualización de software es una de las preocupaciones más críticas en la práctica ".

TUF, cuyo desarrollo fue apoyado por la National Science Foundation y el Departamento de Seguridad Nacional de EE. UU., fue seleccionado como proyecto dentro de la CNCF en 2017. Ese mismo año, Cappos, junto con un equipo de investigadores del Instituto de Investigación en Transporte de la Universidad de Michigan y el Instituto de Investigación del Suroeste, desarrollaron Uptane, la aplicación automotriz de TUF. Uptane ha sido ampliamente adoptado por los fabricantes de automóviles, según las proyecciones, Aproximadamente un tercio de los autos modelo 2023 en las carreteras de los Estados Unidos usarán Uptane.

Los principales contribuyentes a TUF dentro de NYU Tandon incluyen al graduado de doctorado Trishank Karthik Kuppusamy, ahora ingeniero jefe de soluciones de seguridad en Datadog; los actuales estudiantes de doctorado Santiago Torres y Marina Moore; y el desarrollador Lukas Puehringer, junto con los ex desarrolladores Sebastien Awwad (ahora en Conda) y Vladimir Diaz, que participó como parte del Laboratorio de Sistemas Seguros de Cappos. El equipo también reconoce la amplia gama de contribuciones a TUF de muchas organizaciones, incluidas Docker, Colina, y Python, así como participantes de todo el panorama de CNCF y la industria automotriz.

"Estamos entrando en una nueva década en la que el software de código abierto es omnipresente y se actualiza sin problemas en nuestras vidas a través de muchos dispositivos, "dijo Chris Aniszczyk, CTO / COO de la Cloud Native Computing Foundation. "Estamos encantados de ver a TUF asegurar una parte importante de la cadena de suministro de software y esperamos continuar sosteniendo a su comunidad en el CNCF".

El mes pasado, otra tecnología co-desarrollada por Cappos y Torres ingresó al CNCF Sandbox. In-toto es un sistema de código abierto gratuito que asegura criptográficamente la integridad de la cadena de suministro de software, proporcionando un nivel de seguridad sin precedentes contra los ataques.