AlmaLinux zapewnia Informacje o zestawieniu materiałów oprogramowania (SBOM) dla swoich wydań.
Co to jest SBOM?
SBOM, czyli Software Bill of Materials, to coś w rodzaju „listy składników” bazy kodu. Pomaga zidentyfikować zawartość oprogramowania, w tym używane komponenty open source i innych firm, informacje o licencjach, wersje komponentów, a także czy w tych komponentach występują znane luki w zabezpieczeniach.
SBOM to „lista składników”, kod to składniki, a system kompilacji to „kuchnia”, w której składniki te są łączone w gotowy produkt, czyli oprogramowanie z którego korzystasz.
Dlaczego SBOM są ważne?
Oprogramowanie open source jest szeroko stosowane w aplikacjach, ale doprowadziło to do odkrycia głośnych przypadków włamań i luk w zabezpieczeniach. Celem SBOM jest zapewnienie społeczności i użytkownikom oprogramowania typu open source jeszcze większej przejrzystości oraz skutecznego sposobu identyfikacji (w razie ryzyka) poszczególnych plików, bibliotek, zależności itp. Zwiększając w ten sposób zaufanie do korzystania z oprogramowania typu open source.
The Linux Foundation też tak myślimy…
Fundacja Linux i Open Source Security Foundation (OpenSSF) opracowały również plan o nazwie Source Software Security Mobilization Plan co wymaga podjęcia działań przez branżę w celu opracowania struktur komponentów oprogramowania, w tym SBOM, aby przyspieszyć wykrywanie przyszłych luk w zabezpieczeniach, takich jak Log4j, i reagowanie na nie.
... oraz sam prezydent
SBOM zostało wyróżnione jako kluczowy element rozwiązania przedstawionego przez prezydenta w Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Co oferuje AlmaLinux
The AlmaLinux Build System wdrożył SBOM do procesu z powodów wymienionych powyżej, aby umożliwić:
- Wykorzystując cały proces budowy pobierania ze źródeł repozytoriów git CentOS do wydania weryfikowanego i podpisanego pakietu w repozytorium publicznym
- Zwiększanie bezpieczeństwa procesu kompilacji poprzez zapewnienie, że do kompilacji używane są wyłącznie zaufane źródła, unikanie konsekwencji ataków itp
- Ograniczenie liczby sposobów uszkodzenia danych
Jak my to robimy?
AlmaLinux wykorzystuje otwarte oprogramowanie Codenotary immudb aby zapewnić administratorom uwierzytelnianie, weryfikację i pełną widoczność SBOM.
- AlmaLinux Build System przechowuje dane SBOM wewnątrz immudb, standard otwartego oprogramowania dla niezmiennych baz danych, używany przez niektóre z wiodących światowych firm i rządów.
- immudb jest chroniony przed manipulowaniem. Wszystkie dane zaświadczenia są integracyjnie sprawdzane i kryptograficznie weryfikowane przez klientów. Nikt nie może zmienić tych danych, ani AlmaLinux, ani nikt inny.
- immudb jest również chroniony przed atakami MITM. Klucz szyfrujący jest weryfikowany po stronie klienta i sprawdzany przed każdą komunikacją.
Start
Aby uzyskać więcej informacji, sprawdź wiki AlmaLinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration
