O Update Framework (TUF), uma tecnologia de código aberto que protege os sistemas de atualização de software, tornou-se o primeiro projeto de especificação a se formar na Cloud Native Computing Foundation (CNCF) da Linux Foundation. Uma especificação - exemplos comuns dos quais são HTML e HTTP - permite que diferentes implementadores criem a funcionalidade central em um comum, forma precisamente definida de resolver uma tarefa. Justin Cappos, líder do projeto TUF e professor associado de ciência da computação e engenharia na NYU Tandon School of Engineering, é também o primeiro pesquisador acadêmico a liderar um projeto formado pelo CNCF.

Este marco significa que o TUF atingiu o mais alto nível de maturidade no ecossistema CNCF, que promove o desenvolvimento e a adoção de tecnologias de nuvem de código aberto. O TUF se tornou o padrão da indústria para proteger sistemas de atualização de software, e agora é utilizado pelos principais provedores de serviços baseados em nuvem, incluindo Amazon - que lançou recentemente uma versão de código aberto personalizado do TUF - Microsoft, Google, Cloudflare, Datadog, DigitalOcean, Docker, IBM, Chapéu vermelho, VMware, e muitos outros.

Esta última conquista é o culminar de uma década de trabalho da Cappos e uma equipe de colaboradores que desenvolveram o TUF para lidar com o frequente comprometimento de repositórios de software por cibercriminosos. As atualizações de software têm sido os principais alvos dos hackers, e a ameaça representada por tais ataques cresceu à medida que os dispositivos conectados à Internet foram além dos computadores e smartphones para incluir equipamentos médicos, automóveis, e muitos outros dispositivos. O TUF defende contra uma ampla gama de ataques, protegendo os usuários finais de softwares mal-intencionados, mesmo em cenários em que os invasores tenham comprometido um repositório ou uma chave de assinatura. O TUF foi projetado para ser flexível, facilitando sua adoção em qualquer sistema de atualização de software.

"O TUF foi projetado para que uma organização não precise ser perfeita em sua segurança operacional, "disse Cappos." Se uma empresa acidentalmente tornar pública uma chave de assinatura, tem um hacker invadindo seu repositório de software, ou se um funcionário insatisfeito ficar desonesto, os danos que podem causar são limitados. A defesa em profundidade é a chave para a segurança, e a segurança da infraestrutura de atualização de software está entre as preocupações mais críticas na prática. "

TUF, cujo desenvolvimento foi apoiado pela National Science Foundation e pelo Departamento de Segurança Interna dos EUA, foi selecionado como projeto dentro do CNCF em 2017. Nesse mesmo ano, Cappos, juntamente com uma equipe de pesquisadores do Instituto de Pesquisa de Transporte da Universidade de Michigan e do Instituto de Pesquisa Southwest, desenvolveu o Uptane, a aplicação automotiva do TUF. O uptano foi amplamente adotado pelas montadoras - de acordo com as projeções, cerca de um terço dos carros modelo de 2023 nas estradas dos Estados Unidos usará Uptane.

Os principais contribuintes do TUF dentro da NYU Tandon incluem o doutorado Trishank Karthik Kuppusamy, agora é engenheiro-chefe de soluções de segurança da Datadog; atuais alunos de doutorado Santiago Torres e Marina Moore; e o desenvolvedor Lukas Puehringer, junto com os ex-desenvolvedores Sebastien Awwad (agora na Conda) e Vladimir Diaz, que participou como parte do Laboratório de Sistemas Seguros da Cappos. A equipe também reconhece a ampla gama de contribuições para o TUF de muitas organizações, incluindo Docker, Tor, e Python, bem como participantes em todo o cenário CNCF e na indústria automotiva.

"Estamos entrando em uma nova década em que o software de código aberto é difundido e atualizado continuamente em nossas vidas por meio de muitos dispositivos, "disse Chris Aniszczyk, CTO / COO da Cloud Native Computing Foundation. "Estamos entusiasmados em ver o TUF garantir uma parte importante da cadeia de suprimentos de software e esperamos continuar sustentando sua comunidade no CNCF."

Mês passado, outra tecnologia co-desenvolvida por Cappos e Torres entrou no CNCF Sandbox. In-toto é um sistema de código aberto gratuito que garante criptograficamente a integridade da cadeia de fornecimento de software, fornecendo um nível sem precedentes de segurança contra ataques.