近年來，發生了多次網絡攻擊，這些攻擊破壞了軟件開發人員的網絡，使得無法在軟件更新內傳遞惡意軟件。這種情況是Update Framework(TUF)開源項目的創始人Justin Cappos一直在努力解決。

卡普波斯(Cappos)是紐約大學(NYU)的助理教授，近十年前創立了TUF。TUF現在由多個軟件項目實現，包括用于安全容器應用程序更新的Docker Notary項目，并且其實現也專門用于幫助保護汽車軟件。

在接受eWEEK的視頻采訪中，Cappos解釋了TUF在現代威脅領域中為何很重要以及它如何繼續發展。

Cappos說：“ TUF有助于確保您的組織已決定應對其進行簽名的軟件可以安全地(最終用戶)與各方(用戶)聯系在一起。”

TUF 定義了一種系統，在該系統中，以經過驗證的方式對軟件更新進行了加密簽名和保護，以幫助最大程度地降低軟件篡改的風險。近年來發生了多起事件，其中包括涉及cCleaner的事件，其中攻擊者能夠滲透和破壞開發系統，以將惡意更新發送給用戶。

TUF云原生計算基金會項目

TUF 與Notary項目一起于2017年10月成為 Cloud Native Computing Foundation(CNCF)項目。CNCF是Linux Foundation合作項目，并且是多個技術項目(包括Kubernetes容器編排系統)的所在地。Cappos說，作為CNCF的一部分，在進行適當的治理和驗證方面，已經幫助推進了TUF項目。CNCF還有助于促進TUF和項目正在進行的工作。

Cappos堅信擁有安全的軟件更新機制應該是安全合規性的要求。他強調說，擁有安全更新不僅僅涉及對數字簽名進行更新，還具有像TUF這樣的機制來驗證簽名和所提供軟件的完整性。

根據Cappos的說法，目前特別關注軟件更新的是物聯網(IoT)技術，尤其是醫療設備和電網，如果將惡意更新傳遞到這些系統，則可能會產生嚴重影響。

Cappos說：“如果這些問題不能在這些領域(IoT)中解決，人們將死亡。”