AlmaLinux fournit une liste des composants logiciels (SBOM) pour ses versions.
Qu'est-ce qu'un SBOM ?
SBOM, qui signifie Software Bill of Materials, est quelque chose qui ressemble à une "liste d'ingrédients" pour une base de code. Il aide à identifier le contenu des logiciels, y compris les composants open source et tiers utilisés, les informations sur les licences, les versions des composants et s'il existe des vulnérabilités connues dans ces composants.
Le SBOM est la "liste des ingrédients", le code constitue les ingrédients, le système de compilation est la "cuisine" où ces ingrédients sont intégrés dans le logiciel final que vous utilisez.
Pourquoi les SBOMs sont-ils importants ?
Les logiciels open source sont largement utilisés dans les applications, mais cela a conduit à la découverte de piratages et de vulnérabilités de haut niveau. Les SBOM sont destinés à fournir à la communauté et aux utilisateurs de l'open source encore plus de transparence, ainsi qu'un moyen efficace d'identifier (en cas de risque) des fichiers, des bibliothèques, des dépendances, etc., augmentant ainsi la confiance et l'assurance dans l'utilisation des logiciels open source.
The Linux Foundation le pense aussi…
La Linux Foundation et l'Open Source Security Foundation (OpenSSF) ont également élaboré un plan appelé le Source Software Security Mobilization Plan qui appelle l'industrie à développer des cadres de composants logiciels, y compris les SBOM, pour accélérer la découverte et la réponse aux vulnérabilités futures comme Log4j.
... Et le président lui-même
Un SBOM a été mis en avant comme une partie clé de la solution présentée par le président dans le Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Ce qu'AlmaLinux fournit
The AlmaLinux Build System a mis en œuvre le SBOM dans le pipeline pour les raisons énumérées ci-dessus, afin de permettre :
- De retracer l'ensemble du processus de construction, depuis la récupération des sources des dépôts git de CentOS jusqu'à la publication d'un paquet vérifié et signé dans le dépôt public
- Rendre le pipeline de construction plus sécurisé, en veillant à n'utiliser que des sources fiables pour les constructions, éviter les conséquences d'une attaque, etc
- Réduire le nombre de moyens de corruption de données
Comment faisons-nous cela ?
AlmaLinux tire parti de l'outil open source Codenotary immudb pour fournir aux administrateurs l'authentification, la vérification et une visibilité complète du SBOM.
- Le système de construction d'AlmaLinux stocke les données SBOM à l'intérieur d'immudb, la norme pour l'open source pour les bases de données immuables, utilisée par certaines des plus grandes entreprises et gouvernements du monde.
- immudb est protégé contre les altérations. Toutes les données d'attestation sont vérifiées en termes d'intégrité et cryptographiquement vérifiées par les clients. Personne ne peut modifier ces données, ni AlmaLinux ni qui que ce soit d'autre.
- immudb est également protégé contre les attaques de type MITM (Man-In-The-Middle). La clé de chiffrement est vérifiée et contrôlée côté client avant chaque communication.
Pour commencer
Pour plus d'informations, consultez le wiki Almalinux : https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration