我们看到越来越多的人使用二进制认证确保软件供应链的安全,特别是在受监管的行业内。目前最受欢迎的方法似乎要么是构建一个用于实现二进制验证的定制系统,要么是依赖云供应商的服务。我们被鼓励去看开源全部进入这个空间。In-toto是一个用于对软件工件的生产过程中的每个组件和步骤进行加密验证的框架。该项目包括许多集成到许多广泛使用的构建、容器审计和部署工具的集成。一个软件供应链工具可以是一个组织安全装置的关键部分,所以我们喜欢作为一个开源项目,in-toto的行为是透明的,它自己的完整性和供应链可以被社区验证。我们将拭目以待,看它是否能在这个领域赢得大量用户和贡献者。