api-evangelist/in-toto

# in-toto (in-toto) in-toto 是一个 CNCF 毕业框架，用于保护软件供应链的完整性。它提供了一个规范，用于生成和验证有关软件供应链中每个步骤（从源代码到部署）的元数据。in-toto 确保每个步骤由授权方执行，并且材料和产品在步骤之间没有被篡改。 **URL:** [访问 APIs.json URL](https://raw.githubusercontent.com/api-evangelist/in-toto/refs/heads/main/apis.yml) ## 范围 - **类型：** Index - **位置：** Consumer - **访问权限：** 3rd-Party ## 标签: - Cloud Native, Graduated, Security, Software Integrity, Supply Chain Security, Verification ## 时间戳 - **创建时间：** 2026-03-16 - **修改时间：** 2026-04-28 ## API ### in-toto Attestation 规范 in-toto 规范定义了用于记录软件供应链步骤的元数据格式。它包括 Layout 元数据（定义预期步骤及其授权执行者）和 Link 元数据（记录每个步骤实际发生的操作，包括消耗的材料和生成的产品）。验证过程通过对比 Layout 和 Link 来检测篡改。 **Human URL:** [https://in-toto.io/docs/specs/](https://in-toto.io/docs/specs/) #### 标签: - Attestation, Specification, Supply Chain #### 属性 - [文档](https://in-toto.io/docs/specs/) - [参考](https://github.com/in-toto/docs/blob/master/in-toto-spec.md) - [JSONSchema](json-schema/in-toto-layout-schema.json) - [JSONSchema](json-schema/in-toto-link-schema.json) - [JSONSchema](json-schema/in-toto-attestation-schema.json) - [JSON-LD](json-ld/in-toto-context.jsonld) ### in-toto Attestation 框架 in-toto Attestation 框架提供了一个规范，用于生成关于软件生产方式的任何方面的可验证声明。它定义了一个固定的轻量级 Statement 结构（包含 subject 和 predicate），以及一组涵盖常见用例（如 SLSA provenance）的标准 predicate 类型。 **Human URL:** [https://github.com/in-toto/attestation](https://github.com/in-toto/attestation) #### 标签: - Attestation, SLSA, Specification, Supply Chain #### 属性 - [文档](https://github.com/in-toto/attestation/blob/main/README.md) - [参考](https://github.com/in-toto/attestation/tree/main/spec/v1) - [GitHubRepository](https://github.com/in-toto/attestation) - [JSONSchema](json-schema/in-toto-attestation-schema.json) - [JSON-LD](json-ld/in-toto-context.jsonld) ### in-toto Python 参考实现 in-toto 的 Python 参考实现提供了用于创建和验证 in-toto 元数据的工具和库。它包含了用于包装供应链步骤的 in-toto-run 命令，用于多命令步骤的 in-toto-record，以及用于检查完整供应链 Layout 的 in-toto-verify。 **Human URL:** [https://github.com/in-toto/in-toto](https://github.com/in-toto/in-toto) #### 标签: - Python, Reference Implementation, SDK, Supply Chain #### 属性 - [文档](https://in-toto.readthedocs.io/) - [快速入门](https://in-toto.io/docs/getting-started/) - [GitHubRepository](https://github.com/in-toto/in-toto) ### in-toto Go 实现 in-toto 规范的 Go 实现，支持在基于 Go 的构建和部署 pipeline 中进行供应链完整性验证。它支持通过 SPIFFE/SPIRE 集成进行基于 X.509 签名的 ITE-7。 **Human URL:** [https://github.com/in-toto/in-toto-golang](https://github.com/in-toto/in-toto-golang) #### 标签: - Go, Implementation, SDK, Supply Chain #### 属性 - [文档](https://pkg.go.dev/github.com/in-toto/in-toto-golang) - [GitHubRepository](https://github.com/in-toto/in-toto-golang) ## 通用属性 - [网站](https://in-toto.io) - [文档](https://in-toto.io/docs/) - [快速入门](https://in-toto.io/docs/getting-started/) - [博客](https://in-toto.io/blog/) - [社区](https://in-toto.io/community/) - [FAQ](https://in-toto.io/docs/faq/) - [GitHubOrganization](https://github.com/in-toto) - [JSONSchema](json-schema/in-toto-layout-schema.json) - [JSONSchema](json-schema/in-toto-link-schema.json) - [JSONSchema](json-schema/in-toto-attestation-schema.json) - [JSON-LD](json-ld/in-toto-context.jsonld) - [规则](rules/in-toto-rules.yml) ## 维护者 **FN:** Kin Lane **Email:** kin@apievangelist.com

标签：API规范, Attestation, CI/CD安全, DevSecOps, JSON-LD, JSONLines, JSON Schema, Llama, 上游代理, 元数据验证, 安全合规, 完整性校验, 密码学, 手动系统调用, 提示注入防御, 日志审计, 源代码安全, 网络代理, 证明框架, 身份授权, 软件供应链, 软件完整性, 逆向工具, 部署安全, 防篡改, 零信任