• 2025 年 4 月 23 日，云原生计算基金会（CNCF）宣布 in-toto 框架毕业，该框架旨在通过确保软件开发生命周期中的每一步（如构建、签名和部署）都得到适当授权和可验证来加强供应链完整性。
• in-toto 主要由纽约大学坦登工程学院的研究人员开发，提供了一个声明性框架，使组织能够定义政策，确保只有授权的参与者以正确的顺序执行特定的构建步骤，并使用签名元数据创建从源代码到最终软件工件的可追溯记录，有助于防止篡改、未经授权的操作和内部威胁。
• CNCF 首席技术官 Chris Aniszczyk 强调其及时性影响，称 in-toto 满足了生态系统中关键且不断增长的需求，可帮助组织验证开发工作流程，降低风险、实现合规并加速安全创新。
• in-toto 从 2019 年的沙盒项目到 2022 年初的孵化阶段，再到 2023 年年中稳定的 1.0 规范，得到了包括美国国家科学基金会、DARPA 和空军研究实验室等主要美国联邦机构的资助和研究支持，已被 Autodesk 和 SolarWinds 等组织使用，并与 OpenVEX 和 SLSA 等标准集成，在各行业获得关注。
• Witness 和 Archivista 等工具使 in-toto 更易于开发人员实施，Autodesk 的软件架构师 Jesse Sanford 指出这些工具显著降低了开发者的摩擦。
• in-toto 从 CNCF 毕业是一个重要时刻，被认可为可用于生产，提供了一种通过可验证工作流程抵御供应链威胁和满足监管标准的系统方法，CNCF 计划继续推进该项目，包括增强政策语言支持和开发者体验。