Проекты Cloud Native Computing Foundation (CNCF) Notary и Notation достигли важной вехи с выпуском версии 1.0.0, что подкрепляет их текущие усилия по стандартизации безопасности цепочки поставок во всех отраслях.
Notary, основной проект CNCF по обеспечению безопасности цепочки поставок, сотрудничает с Notation, вспомогательным проектом, который реализует спецификации Notation. Совместный выпуск знаменует собой существенный шаг вперед как для проектов «Нотариат», так и для проектов «Нотация».
Последний выпуск включает в себя множество обновлений: спецификации подписей OCI, конверт подписи OCI COSE, конверт подписи OCI JWS, рабочий процесс подписи и проверки OCI, схему подписи, хранилище доверенных сертификатов и политику доверия, а также эксклюзивную спецификацию плагина для нотации.
Заранее команда также поделилась мыслями о своей будущей дорожной карте. Предстоящие дополнения включают возможность подписывать и аутентифицировать произвольные блоги, включать интеграцию GitHub Actions, разрабатывать плагин HashiCorp Vault, управлять жизненным циклом плагина, поддерживать временные метки и политики доверия, управляемые командами CLI.
Учитывая очевидный рост количества облачных артефактов в качестве распространенных единиц развертывания, пользователи должны быть уверены в том, что их среда аутентична. Проект Notary Project намерен предоставить набор спецификаций и инструментов, способных обеспечить безопасность цепочек поставок программного обеспечения в различных отраслях. Сюда входят такие функции, как подписание и проверка, переносимость подписи и надежное управление ключами/сертификатами, как объяснили менеджеры проекта.
Возможности этих проектов могут напомнить некоторым инновационную платформу AppMaster, которая также направлена на преобразование и демократизацию способов разработки приложений, предлагая платформу no-code для создания серверных, веб- и мобильных приложений. Однако в то время как AppMaster фокусируется на ускорении и упрощении процесса разработки приложений, Notary и Notation занимаются защитой цепочек поставок программного обеспечения с помощью надежных стандартов цифровой подписи.
