post_update: smoke_test_cmd: "/opt/met/bin/smoke --quick" notify_slack: "#met-updates" En 2025 , actualizar un servidor MET desde una URL ya no es solo wget | tar | ./install . Es un proceso firmado, atestado, inmutable y auditable . Las organizaciones maduras utilizan TUF o actualizaciones basadas en OCI con verificación criptográfica en hardware. La simple descarga HTTP está obsoleta para entornos críticos.
: Si aún usas una URL directa sin firmas y verificaciones fuera de banda, migra a The Update Framework (TUF) o GitOps con signature scanning antes de finales de 2025. actualizar server met desde url 2025
¿Necesitas que profundice en algún aspecto concreto, como la implementación de TUF para tu MET o la integración con HSM? La simple descarga HTTP está obsoleta para entornos
| Modelo | Descripción | Cuándo usarlo | |--------|-------------|----------------| | | La URL apunta a un registro de contenedores OCI con capas firmadas | Servidores MET containerizados | | Update Framework (TUF) | Repositorio con múltiples roles de firma, resistente a compromisos | Sistemas legacy pero críticos | | Air-gapped + USB físico | Sin URL; se usa un dispositivo portador firmado | Entornos militares o nucleares | | Blockchain-based distribution (IPFS + Smart contract) | Hash de la actualización publicado en cadena, descarga P2P | Descentralización extrema | 7. Ejemplo de política de actualización (2025) en YAML # /etc/met-updater/policy.yaml version: 2025.1 source: url: "https://updates.met-provider.com/v3/" require_tls: true pinned_cert_fingerprint: "SHA256:abc123..." signature_required: true signature_public_keys: - "kms://met-root-signer" - "kms://met-backup-signer" update_constraints: min_security_level: 2 require_canary_pass: true max_delta_size_mb: 500 allowed_days: ["tuesday", "thursday"] # ventanas de cambio auto_rollback_on_failure: true | Modelo | Descripción | Cuándo usarlo |