AlmaLinux poskytuje Seznam komponent softwaru (SBOM) pro své vydání.
Co je SBOM?
SBOM, zkratka pro Seznam komponent softwaru (Software Bill of Materials), je něco podobného jako "seznam ingrediencí" pro kódovou základnu. Pomáhá identifikovat obsah softwaru, včetně použitých open source a třetích komponent, informace o licencích, verze komponent a zda jsou v těchto komponentách známy nějaké bezpečnostní zranitelnosti.
SBOM je "seznam ingrediencí", kód představuje ingredience, a systém sestavení je "kuchyně", kde se tyto ingredience sestavují do finálního kusu softwaru, který konzumujete.
Proč jsou SBOMs důležité?
Open source software je široce využíván v aplikacích, ale vedlo to k odhalení známých hacků a bezpečnostních zranitelností. SBOM má za úkol poskytnout komunitě a uživatelům open source ještě větší transparentnost a efektivní způsob, jak identifikovat (v případě rizika) jednotlivé soubory, knihovny, závislosti apod., čímž se zvyšuje důvěra a sebevědomí při používání open source softwaru.
The Linux Foundation taky si myslí…
The Linux Foundation a Open Source Security Foundation (OpenSSF) také vytvořily plán nazvaný Source Software Security Mobilization Plan který vyzývá průmysl k akci na vývoj softwarových komponentních rámců, včetně SBOM, aby urychlil odhalování a reakci na budoucí zranitelnosti jako například Log4j.
...A sám prezident
... SBOM byl zdůrazněn jako klíčová část řešení, kterou prezident představil v Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Co poskytuje AlmaLinux
The AlmaLinux Build System implementoval SBOM do potrubí (pipeline) z výše uvedených důvodů, aby umožnil:
- Sledování celého procesu sestavení od stažení zdrojů z repozitářů CentOS Git až po vydání ověřeného a podepsaného balíčku v veřejném repozitáři
- Zabezpečení sestavení potrubí, jako například zajistění, že jsou pro sestavení používány pouze důvěryhodné zdroje, a předejít důsledkům útoků atd.
- Snížení počtu způsobů poškození dat
Jak to děláme?
AlmaLinux využívá otevřený zdrojový kód od společnosti Codenotary immudb aby poskytla správcům autentizaci, ověření a plnou viditelnost SBOM.
- Systém pro sestavení AlmaLinux ukládá data SBOM (Software Bill of Materials) uvnitř databáze immudb, standardu pro nezměnitelné databáze v open source, který je používán některými předními světovými společnostmi a vládami.
- immudb je chráněn proti manipulaci. Všechna ověřovací data jsou ověřena integritou a kryptograficky potvrzena klienty. Nikdo nemůže tato data změnit, ani AlmaLinux, ani kdokoliv jiný.
- immudb je také chráněn proti útokům typu "Man-in-the-Middle" (MITM). Klíč pro šifrování je ověřen na straně klienta a je kontrolován před každou komunikací.
Začínáme
Pro více informací navštivte AlmaLinux wiki: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration