The Update Framework
定義
ソフトウェア更新の配布において、署名鍵の侵害や古い更新への巻き戻しなどを想定し、役割分離されたメタデータと検証手順で更新の信頼性を守るフレームワーク。
詳細解説
TUFは単一署名だけに依存せず、root、targets、snapshot、timestampなどの役割を分け、鍵侵害時の影響を限定します。採用時はしきい値署名、鍵のオフライン保管、期限切れ、ロールバック保護、復旧手順を運用に落とし込みます。
ポイント
- 初心者向けには「更新ファイルだけでなく、誰がどの役割で承認したかも検証する仕組み」と捉える
- 署名鍵が一つ漏れただけで全更新が信頼されないよう、役割と鍵を分離する
- 古い正規版を再配布するロールバック攻撃や更新停止も脅威モデルに含む
関連用語
公式情報・参考情報
よくある質問
The Update Frameworkとは?
ソフトウェア更新の配布において、署名鍵の侵害や古い更新への巻き戻しなどを想定し、役割分離されたメタデータと検証手順で更新の信頼性を守るフレームワーク。
The Update Frameworkについて詳しく知るには?
TUFは単一署名だけに依存せず、root、targets、snapshot、timestampなどの役割を分け、鍵侵害時の影響を限定します。採用時はしきい値署名、鍵のオフライン保管、期限切れ、ロールバック保護、復旧手順を運用に落とし込みます。
The Update Frameworkのポイントは?
初心者向けには「更新ファイルだけでなく、誰がどの役割で承認したかも検証する仕組み」と捉える 署名鍵が一つ漏れただけで全更新が信頼されないよう、役割と鍵を分離する 古い正規版を再配布するロールバック攻撃や更新停止も脅威モデルに含む
同じカテゴリの用語(フレームワーク)
利用者のアクセス権が現在も必要で妥当かを、管理者や業務オーナーが定期的に確認・承認するプロセス。…
アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。…
既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。…
ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。…
AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。…
資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。…