La Cloud Native Computing Foundation (Cncf) ospita da oggi due nuovi progetti dedicati alla distribuzione e alla gestione dei container. Due iniziative collegate fra loro, chiamate The Update Framework (Tuf) e Notary, e basate sulla piattaforma Docker. L’obiettivo della Cncf è fornire alle aziende che ricorrono alla containerizzazione un ulteriore “strato di fiducia”, per essere certi che le risorse Docker distribuite nei propri sistemi non siano state compromesse. Tuf, ideato dal professor Justin Cappos della New York University, è un framework di sicurezza flessibile e omnicomprensivo che gli sviluppatori possono integrare in ogni sistema di aggiornamento presente in azienda. Tuf può così essere implementato fin nei linguaggi di programmazione delle piattaforme di update, grazie a un’architettura e a specifiche self-contained. Al momento il framework è stato integrato in Python, Go, Ruby e Haskell.
Specifiche e librerie di Tuf possono essere utilizzate in modo trasparente per mettere in sicurezza i sistemi di aggiornamento. Notary, nato sotto l’egida del progetto Docker, non è altro che una particolare implementazione lato client del The Update Framework. Insieme gestiscono la firma dei metadata necessari per stabilire che un container Docker non sia stato compromesso, aggiungendo quello che viene chiamato layer of trust, ovvero un nuovo livello di fiducia tra le due parti.
Un bisogno a quanto pare molto sentito dalle imprese. Come sottolineato sulla pagina del Tuf, infatti, “esistono migliaia di diversi sistemi di aggiornamento software. Di fatto, un utente medio di Windows dispone sulla propria macchina di almeno due decine di soluzioni di questo genere”. David Lawrence, senior software engineer di Docker, ha spiegato a Techcrunch che spesso “nel flusso di lavoro di uno sviluppatore, la sicurezza arriva in un secondo momento. Ma ogni singola parte di codice, dal sistema operativo all’applicazione, dovrebbe essere firmata. Notary stabilisce una ‘fiducia forte’ per impedire che contenuti malevoli vengano iniettati nei processi”.
Notary viene già utilizzato da tempo dalla piattaforma di containerizzazione ideata da Google per implementare il proprio sistema Docker Content Trust, ma esistono varianti simili integrate in altri contesti e per scopi diversi da realtà e progetti come LinuxKit, Huawei, Moby Project, Vmware, Motorola Solutions, Quay e altri. Il framework si sta diffondendo anche in ambito automotive: i produttori ne sfruttano una versione modificata, chiamata Uptane, per mettere in sicurezza il codice eseguito nei veicoli.