2025年4月23日、Cloud Native Computing Foundation (CNCF)は、ソフトウェア開発ライフサイクルの各ステップ(ビルド、署名、デプロイなど)が適切に認可され、検証可能であることを保証することでサプライチェーンの整合性を強化するフレームワークであるin‑totoの卒業を発表した。この動きは、in‑totoが完全な成熟と安定性を達成し、広く採用されている他の卒業したCNCFプロジェクトに加わり、大規模な生産に対応可能であることを示している。
主にNYU Tandon School of Engineeringの研究者によって開発されたin‑totoは、組織が特定のビルドステップを正しい順序で実行するために認可されたアクターのみが行うことを保証するポリシーを定義する宣言的フレームワークを提供する。署名されたメタデータを使用して、ソースコードから最終ソフトウェア成果物までの追跡可能な記録を作成する。このモデルは、改ざん、認可されていない行動、内部脅威を防止し、ソフトウェアサプライチェーン攻撃の増加と高度化に対処する。
CNCFのCTOであるChris Aniszczyk氏は、そのタイムリーな影響を強調した。
in‑totoは、ソフトウェアがどのように構築され、提供されるかにおいて信頼と整合性を確保するという、我々のエコシステムにおける重要で増大するニーズに対応しています。ソフトウェアサプライチェーンの脅威が規模と複雑さを増す中で、in‑totoは組織が開発ワークフローを自信を持って検証し、リスクを軽減し、コンプライアンスを確保し、最終的には安全なイノベーションを加速します。
この卒業は、2019年のSandboxプロジェクトから2022年初頭のIncubation、2023年中頃の安定した1.0仕様への道のりをたどった。米国の主要な連邦機関、National Science Foundation、DARPA、Air Force Research Laboratoryが資金と研究支援を提供している。AutodeskやSolarWindsなどの組織ですでに使用されており、OpenVEXやSLSAなどの標準と統合されているため、in‑totoは各セクターでの支持を得ている。
WitnessやArchivistaなどのツールは、開発者がin‑totoを採用するのを容易にする。AutodeskのソフトウェアアーキテクトJesse Sanford氏は次のように述べた。
WitnessとArchivistaが開発者の摩擦を非常に大幅に減少させた事実は、in‑totoフレームワークを我々にとって際立たせました(中略)我々は今、デフォルトで安全に実行可能です。
CNCFからの卒業は重要な瞬間を示している。in‑totoは彼らによって生産準備が整ったと認識され、サプライチェーンの脅威に対抗し、検証可能なワークフローを通じて規制基準を満たす体系的な方法を提供する。CNCFは、ポリシー言語サポートと開発者エクスペリエンスの向上を含むプロジェクトの進展を続ける計画だ。