【翻译】供应链安全项目in-toto移至CNCF孵化器

CNCF技术监督委员会（TOC）已经投票决定接受in-toto作为CNCF的孵化项目。

in-toto是一个通过收集和验证相关数据来保护软件供应链的框架。它通过使图书馆收集有关软件供应链行为的信息，并允许软件消费者和项目经理发布有关软件供应链实践的政策，以便在部署或安装软件之前进行验证。简而言之，它有助于捕捉软件供应链中发生的事情，并确保它是根据定义的政策发生的。

in-toto项目由纽约大学坦顿工程学院的安全系统实验室于2015年创建。从那时起，它一直在不断发展，以更好地适应不同软件生态系统的做法，并更好地与其他云技术相结合，如SPIFFE和SPIRE。由于一个链条只有在其最薄弱的环节才会强大，该项目仍然具有足够的可塑性，以保护软件供应链的每一个方面--从源代码到Kubernetes集群中的接纳以及其他方面。

"CNCF TOC成员和项目发起人Justin Cormack说："供应链安全是当今软件生态系统面临的最大挑战之一。"一个典型的软件供应链是由多个步骤 "串联 "而成的，包括编写、测试、打包和分发软件。更多的步骤意味着一个组织可能会有更多的漏洞。in-toto通过提供安全和可信的方式来代表和证明云原生管道中的所有操作来解决这个问题。我们看到了社区对此的强烈支持。"

自2019年加入CNCF沙盒以来，in-toto已经，吸引了来自16加不同组织的超过132名贡献者，现在有来自5个组织的8名维护者和批准者。

在过去的三年里，in-toto团队一直专注于通过增加或修改功能来实现稳定性，包括支持SPIFFE、更具表现力的证据收集和不同语言的实现，如Rust。该项目还被整合到重要的安全应用中，如Reproducible Builds和Sigstore。

in-toto已经被包括Datadog、Google Grafeas、Kubesec.io、rebuilderd、SolarWinds、Sigstore的Cosign等组织在生产中采用。Datadog用它来保护他们的管道，SolarWinds用它来避免未来出现与2019年SUNBURST黑客事件同样规模的泄露。此外，像rebuilderd这样的项目产生了in-toto attestations，以便进行可加密验证的构建-重现性检查。最后，Sigstore的一部分cosign等项目使用in-toto作为底层技术来证明各种供应链行为。事实上，in-toto是sigstore上第二大使用机制。

in-toto也是第一个通过CNCF的TAG安全评估的项目。

显著的里程碑。

• 500多个GitHub星级
• 700个拉动请求
• 194个问题
• 45个贡献者
• 32个发布

"云原生计算基金会首席技术官Chris Aniszczyk说："在过去的几年里，我们看到整个软件供应链的攻击频率和严重程度都在增加，甚至白宫最近也发布了一项行政命令。"我们很高兴有一个项目在供应链安全领域提供创新，我们期待着看到社区之间的合作，继续使云原生生态系统更加安全。"

自2020年发布1.0以来，in-toto一直专注于为现有的集成提供稳定性。在未来的一年里，该团队计划增加令人振奋的新功能，包括在证据收集期间支持表达式类型跟踪，对SLSA证明处理提供更好的本地支持，以及更简单的政策语言，以及 "最佳供应链实践 "政策的集合，以方便希望确保其供应链的项目采用。请阅读项目路线图中的更多内容。
作为一个CNCF托管的项目，in-toto是一个与它的技术利益相一致的中立基金会的一部分，也是更大的Linux基金会的一部分，后者提供管理、营销支持和社区推广。in-toto加入了孵化技术Argo, Buildpacks, Chaos Mesh, CIlium, CloudEvents, CNI, Contour, Cortex, CRI-O, Crossplane, Dapr, Dragonfly, emissary-ingress, Falco, Flagger, Flux, gRPC, KEDA, Knative, KubeEdge, Litmus, Longhorn, NATS, Notary, OpenMetrics, OpenTelemetry, Operator Framework, SPIFFE, SPIRE, and Thanos。关于每个级别的成熟度要求的更多信息，请访问CNCF的毕业标准。