Estamos vendo o uso crescente do atestado binário para deixar segura a cadeia de suprimentos de software, especificamente em indústrias reguladas. As abordagens favorecidas atualmente parecem envolver tanto a construção de um sistema personalizado para implementar a verificação binária, quanto a dependência de um fornecedor de serviço de nuvem. Estamos otimistas de ver o código aberto in-toto entrar neste espaço. O in-toto é um framework para verificar criptograficamente cada componente e passo do trajeto de produção de um artefato de software. O projeto inclui um número de integrações em muitas ferramentas de compilação, auditoria de contêineres e implantação usadas amplamente. Uma ferramenta de cadeia de suprimentos de software pode ser uma parte crítica do aparato de segurança de uma empresa, então gostamos de que, como um projeto de código aberto, o comportamento do in-toto seja transparente, e sua própria integridade e cadeia de suprimentos podem ser verificadas pela comunidade. Teremos que esperar para ver se a ferramenta ganhará uma massa crítica de usuários e contribuidores para competir neste espaço.
