AlmaLinux tarjoaa ohjelmistojen materiaaliluettelon (SBOM) julkaisuilleen.
Mitä SBOM tarkoittaa?
SBOM, joka on lyhenne sanoista Software Bill of Materials, on jotain koodikannan "ainesosaluettelon" kaltaista. Se auttaa tunnistamaan ohjelmiston sisällön, mukaan lukien käytetyt avoimen lähdekoodin ja kolmannen osapuolen komponentit, lisenssitiedot, komponentit' versiot ja jos niissä on tunnettuja haavoittuvuuksia.
SBOM on "ainesosaluettelo", koodi on ainesosat, rakennusjärjestelmä on "keittiö", jossa nämä ainesosat sisällytetään kuluttamaasi viimeiseen ohjelmistoon.
Miksi SBOM:t ovat tärkeitä?
Avoimen lähdekoodin ohjelmistoja käytetään laajasti sovelluksissa, mutta se on johtanut korkean profiilin hakkerointiin ja haavoittuvuuksiin. SBOM:ien on tarkoitus tarjota yhteisölle ja avoimen lähdekoodin käyttäjille entistä enemmän läpinäkyvyyttä ja tehokas tapa tunnistaa (riskin sattuessa) yksittäisiä tiedostoja, kirjastoja, riippuvuuksia jne., mikä lisää luottamusta avoimen lähdekoodin ohjelmistojen käyttöön.
The Linux Foundation niin ajattelee myös…
Linux Foundation ja Open Source Security Foundation (OpenSSF) ovat myös laatineet suunnitelman nimeltä Source Software Security Mobilization Plan joka vaatii alan toimia ohjelmistokomponenttikehysten, mukaan lukien SBOM:ien, kehittämiseksi, jotta voidaan nopeuttaa Log4j:n kaltaisten tulevien haavoittuvuuksien löytämistä ja niihin reagoimista.
...Ja presidentti itse
SBOM on korostettu keskeisenä osana presidentin esittämää ratkaisua Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Mitä AlmaLinux tarjoaa
The AlmaLinux Build System on ottanut SBOM:n käyttöön yllä luetelluista syistä mahdollistaakseen:
- Koko rakennusprosessin jäljittäminen lähteiden hakemisesta CentOS:n git-tietovarastoista vahvistetun ja allekirjoitetun paketin julkaisemiseen julkisessa tietovarastossa
- Koontiputkilinjan turvallisuuden parantaminen, kuten sen varmistaminen, että koonnissa käytetään vain luotettavia lähteitä, hyökkäysten seurausten välttäminen jne
- Tietojen vioittumisen tapojen määrän vähentäminen
Miten teemme tämän?
AlmaLinux hyödyntää Codenotaryn avointa lähdekoodia immudb tarjotakseen järjestelmänvalvojille todennuksen, vahvistuksen ja täyden SBOM-näkyvyyden.
- AlmaLinux Build System tallentaa SBOM-tiedot immudb:n sisäänjoka on muuttumattomien tietokantojen avoimen lähdekoodin standardi, jota jotkut maailman johtavista yrityksistä ja hallituksista käyttävät.
- immudb on suojattu peukalointia vastaan. Kaikki todistustiedot ovat eheystarkastettuja ja asiakkaiden varmentamia kryptografisesti. Kukaan ei voi muuttaa näitä tietoja – ei edes AlmaLinux.
- immudb on myös suojattu MITM-hyökkäyksiltä. Salausavain varmistetaan ja tarkistetaan asiakaspuolelta ennen jokaista viestintää.
Aloittaminen
Lisätietoja on Almalinuxin Wikissä: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration
