IN-TOTO
Framework de provenance et attestations supply chain.
Définition
in-toto produit Layout files (steps, inspections), Link metadata signed (materials, products, byproducts, environment). Subjects identifiés par hash SHA-256. Inspections finales verify integrity. Signature DSSE (Dead Simple Signing Envelope). Specification v1.0 (2023).
Origine
Créé par NYU Secure Systems Lab (Justin Cappos) en 2018.
Exemple en contexte
Un pipeline CD émet in-toto link metadata pour chaque step (build, test, sign, push).
Termes liés
- SLSA levels — cadre consommateur.