De standaardiseringsprojecten Notary Project en Notation Project van de Cloud Native Computing Foundation (CNCF) voor supply chain security hebben met versie 1.0.0 een grote update gekregen en hiermee hun eerste volle release.
De projecten Notary en het hiervan afgeleide Notation zijn twee ontwikkeltrajecten voor ‘cross-industry’-standaarden voor software supply chain security. Hiermee kunnen bedrijven en organisaties vaststellen en aangeven dat containers en andere cloudgebaseerde diensten authentiek zijn binnen hun omgevingen.
Notary Project biedt een aantal specificaties en tools die de standaarden moeten bieden voor het beveiligen van software supply chains. Denk hierbij aan signing en verificatie, het overdragen van (digitale) handtekeningen en key/certificaatbeheer.
Notation Project is een sub-onderdeel van Motary Project en richt zich op het implementeren van de Notary-specificaties.
Nieuwe functionaliteit
De 1.0.0- release is de eerste echt volle release van de nieuwe standaarden voor software supply chain security en biedt een aantal nieuwe features. Nieuwe features zijn er onder meer voor OCI-signing en -verificatie, plugin-ondersteuning voor Notation Project voor Azure en AWS, integratie met admission controller voor Kubernetes en ingebouwde security.
Toekomstige ontwikkelingen
Naast de nieuwe release lichten de ontwikkelaars ook een tipje van de sluier op voor toekomstige ontwikkelingen. In een latere release wordt het mogelijk willekeurige blogs te ondertekenen en te verifiëren, komt er een integratie met GitHub Actions en komen er een HashiCorp Vault-plugin en een plugin voor lifecycle management beschikbaar.
Verder wordt in een volgende release ondersteuning voor timestamps en de mogelijkheid trust policies te beheren via CLI-commando’s toegevoegd.
Lees ook: Istio krijgt topstatus van Cloud Native Computing Foundation