AlmaLinux מספקת חוק חומרי תוכנה (SBOM) אל ההפצות שלהן.
מה זה SBOM?
SBOM אשר מתרגם אל חוק חומרי תוכנה הוא משהו קרוב אל "רשימת מרכיבים" עבור בסיס קוד. זה עוזר לזהות את התוכן של התוכנה, כולל מה קוד פתוח וכלים צד שלישי משומשים, מידע על רישוי, רכיבים, גרסאות ואם יש פגיעות ידועות.
ה-SBOM הוא "רשימת המרכיבים", הקוד הם המרכיבים, מערכת הבנייה היא המטבח שבו מרכיבים אלה נוצרים לתוך פיסת התוכנה הסופית שאתם צורכים.
למה SBOMs חשובים?
תוכנת קוד פתוח משמשת באופן נרחב באפליקציות, אך היא הובילה לגילוי של פריצות ופגיעות בעלות פרופיל גבוה. SBOMs נועדו לספק לקהילה ולמשתמשים של קוד פתוח עם עוד שקיפות, והדרך היעילה לזהות (במקרה של סיכון) קבצים בודדים, ספריות, תלויות וכו '. ובכך להגדיל את האמון והאמון בשימוש בתוכנה קוד פתוח.
The Linux Foundation גם לי נראה…
קרן לינוקס וקרן האבטחה בקוד פתוח (OpenSSF) הכינו גם הן תוכנית שנקראת Source Software Security Mobilization Plan שקוראת לפעולה מצד התעשייה לפיתוח תשתיות רכיבי תוכנה, כולל
…והנשיא בכבודו ובעצמו
SBOM הוצגה כחלק מרכזי מהפתרון שהוצג על ידי הנשיא ב Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
מה מספקת AlmaLinux
The AlmaLinux Build System הטמיע את SBOM לתהליך מהסיבות המפורטות לעיל, כדי לאפשר:
- עקיבה על כל הליך הבנייה על ידי משיכת מקורות מ- CentOS git repositories כדי לשחרר חבילה מאומתת וחתומה ב repository הציבורית
- הופך את הליך הבניה ליותר מאובטח כמו ודוי שרק מקורות מאומתים משומשים לבנייה, וכך נמנעים מתוצאות של מתקפות, וכו'
- צמצום מספר הדרכים של שחיתות נתונים
איך אנחנו עושים את זה?
AlmaLinux משתמשת בפוטנציאל של Codenotary בתחום הקוד הפתוח immudb כדי לספק למנהלים ולידצייה, אימות, ושקיפות מלאה עם SBOM.
- מערך הבנייה של AlmaLinux שומר את המידע SBOM בimmudb, התקן של קוד פתוח בשביל בסיסי נתונים מסוג immutable, המשומשים בחברות וממשלות המובילות בעולם.
- immutable מוגנת מהתעסקות. כל נתוני האישור של attestation נבדקים מבפנים ומאומת קריפטוגרפית על ידי לקוחות. אף אחד לא יכול לשנות את המידע הזה, לא AlmaLinux ולא אף אחד אחר.
- immudb הוא גם מוגן מפני מתקפת איש באמצע (Man In The Middle). מפתח ההצפנה הוא מאומת מצד לקוח ונבדק לפני כל תקשורת.
מתחילים
למידע נוסף יש לפנות לוויקי של AlmaLinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration