Projekty Cloud Native Computing Foundation (CNCF) Notary i Notation osiągnęły znaczący kamień milowy wraz z wydaniem wersji 1.0.0, wzmacniając ciągłe wysiłki na rzecz standaryzacji bezpieczeństwa łańcucha dostaw w różnych branżach.
Notariusz, główny projekt CNCF dotyczący bezpieczeństwa łańcucha dostaw, współpracuje z Notation, projektem wspierającym aktualizującym specyfikacje Notariusza. Wspólna publikacja stanowi znaczący krok naprzód zarówno dla projektów Notary, jak i Notation.
Najnowsza wersja zawiera mnóstwo aktualizacji: specyfikacje podpisu OCI, kopertę podpisu OCI COSE, kopertę podpisu OCI JWS, przepływ pracy podpisywania i weryfikacji OCI, schemat podpisywania, Trust Store i politykę Trust oraz ekskluzywną specyfikację wtyczek dla Notation.
Jeszcze przed premierą zespół podzielił się także spostrzeżeniami na temat przyszłego planu działania. Nadchodzące dodatki obejmują możliwość podpisywania i uwierzytelniania dowolnych blogów, integrację z GitHub Actions, tworzenie wtyczki HashiCorp Vault, zarządzanie cyklami życia wtyczek, obsługę znaczników czasu i zasad zaufania zarządzanych za pomocą poleceń CLI.
Wraz z wyraźnym wzrostem liczby artefaktów natywnych w chmurze jako powszechnych jednostek wdrożeniowych, użytkownicy muszą mieć pewność, że ich środowisko jest autentyczne. Projekt Notary ma na celu dostarczenie zestawu specyfikacji i narzędzi umożliwiających zabezpieczenie łańcuchów dostaw oprogramowania w różnych branżach. Obejmuje to takie funkcje, jak podpisywanie i weryfikacja, przenoszenie podpisów oraz niezawodne zarządzanie kluczami/certyfikatami, jak wyjaśnili menedżerowie projektów.
Możliwości tych projektów mogą przypominać niektórym innowacyjną platformę AppMaster, która również ma na celu transformację i demokratyzację sposobu tworzenia aplikacji, oferując platformę no-code do tworzenia aplikacji backendowych, internetowych i mobilnych. Jednakże, podczas gdy AppMaster koncentruje się na przyspieszeniu i uproszczeniu procesu tworzenia aplikacji, Notary i Notation zajmują się zabezpieczaniem łańcuchów dostaw oprogramowania za pomocą solidnych standardów podpisu cyfrowego.
