Cloud-native: CNCF verleiht The Update Framework den Graduate-Status
TUF (The Update Framework) ist das neunte Projekt der CNCF, dass die Incubation-Phase absolviert hat, aber das erste auf Security fokussierte.
- Matthias Parbel
Nach rund zweijähriger Inkubationsphase hat die Cloud Native Computing Foundation (CNCF) das Projekt The Update Framework (TUF) in den Graduate-Status erhoben. Das auf eine bereits 2009 von Professor Justin Cappos an der NYU Tandon School of Engineering gestartete Entwicklung zurückgehende Projekt ist erst das neunte graduierte der CNCF, aber auch das erste, das sich dem Thema Security widmet und aus dem akademischen Umfeld hervorgegangen ist.
Software-Updates absichern
TUF stellt ein Framework aus Librarys, Dateiformaten und Tools bereit, mit denen sich Systeme zum Update von Software – insbesondere auch Open-Source-Software – absichern lassen. Cappos zufolge ist TUF so konzipiert, dass es etwaige Defizite in der Betriebssicherheit ausgleicht, wenn beispielsweise ein Unternehmen versehentlich einen Signaturschlüssel öffentlich macht oder ein Hacker in ein Software-Repository einbricht. Auch eventuelle Schäden durch Fehlverhalten interner – möglicherweise verärgerter – Mitarbeiter lassen sich durch TUF begrenzen.
Das Framework hat sich in den vergangenen zehn Jahren bereits als Quasi-Standard für die Absicherung von Software-Update-Systemen in der IT-Industrie etabliert. Zahlreiche Anbieter von Cloud-Diensten vertrauen laut CNCF auf TUF, darunter Amazon, Microsoft, Google, Cloudflare, Datadog, DigitalOcean, Docker, IBM, RedHat und VMware. Seit 2017 steht darüber hinaus eine speziell für das Automotive-Segment entwickelte Variante von TUF zur Verfügung: Uptane.
Weitere Informationen zu The Update Framework finden sich in der Ankündigung der CNCF sowie auf der TUF-Projektwebsite. (map)
