ツール・製品
in-toto
in-toto
定義
ソフトウェアサプライチェーンの各工程を記録・検証するためのフレームワーク。ビルド、テスト、署名などの手順が期待通り行われたかを確認する。
詳細解説
in-totoは、誰がどの工程を実行し、どの成果物を入力・出力したかをメタデータとして残します。改ざんや未承認工程を検出しやすくし、SLSAやSigstoreと組み合わせて使われます。
ポイント
- サプライチェーン各工程を記録・検証する
- 入力・出力・実行者のメタデータを扱う
- SLSAやSigstoreと組み合わせやすい
関連用語
よくある質問
in-totoとは?
ソフトウェアサプライチェーンの各工程を記録・検証するためのフレームワーク。ビルド、テスト、署名などの手順が期待通り行われたかを確認する。
in-totoについて詳しく知るには?
in-totoは、誰がどの工程を実行し、どの成果物を入力・出力したかをメタデータとして残します。改ざんや未承認工程を検出しやすくし、SLSAやSigstoreと組み合わせて使われます。
in-totoのポイントは?
サプライチェーン各工程を記録・検証する 入力・出力・実行者のメタデータを扱う SLSAやSigstoreと組み合わせやすい
同じカテゴリの用語(ツール・製品)
AI Gateway
AI Gateway
複数のLLM APIやAI利用を中継し、認証、監査、レート制限、ポリシー、コスト管理を集約するゲートウェイ。…
API Gateway
API Gateway
複数のAPIへの入口を集約し、認証、ルーティング、レート制限、ログ取得などを担う中継コンポーネント。…
Artifact Registry
Artifact Registry
コンテナイメージ、パッケージ、ビルド成果物などを保存・配布するためのレジストリ。…
Cloud KMS
Cloud Key Management Service
クラウド上で暗号鍵を作成、保管、利用、監査する鍵管理サービスの総称。…
CloudTrail
AWS CloudTrail
AWSアカウント内のAPI操作や管理イベントを記録する監査ログサービス。誰が何を変更したかの追跡に使う。…
CodeQL
CodeQL
コードをデータベース化し、クエリで脆弱なパターンや品質問題を検出する静的解析エンジン。…