AlmaLinux fornisce un Software Bill of Materials (SBOM) per le sue versioni.
Cos'è un SBOM?
L'SBOM, acronimo di Software Bill of Materials, è qualcosa di simile a un "elenco degli ingredienti" per una base di codice. Aiuta a identificare il contenuto del software, inclusi i componenti open source e di terze parti utilizzati, le informazioni sulla licenza, le versioni dei componenti e la presenza di eventuali vulnerabilità conosciute in tali componenti.
L'SBOM è un "elenco degli ingredienti", il codice sono gli ingredienti, il sistema di compilazione è la "cucina" in cui tali ingredienti vengono trasformati nell'ultimo pezzo di software che si consuma.
Perché sono importanti gli SBOM?
Il software open source viene ampiamente utilizzato nelle applicazioni, ma ha portato alla scoperta di hack e vulnerabilità di alto profilo. Gli SBOM sono destinati a fornire alla comunità e agli utenti del software open source ancora più trasparenza e un modo efficiente per identificare (in caso di rischio) singoli file, librerie, dipendenze, ecc., aumentando così la fiducia nell'uso del software open source.
The Linux Foundation pensa così anche…
La Linux Foundation e l'Open Source Security Foundation (OpenSSF) hanno prodotto anche un piano chiamato il Source Software Security Mobilization Plan che invita l'industria a sviluppare strutture di componenti software, compresi gli SBOM, per accelerare la scoperta e la risposta alle future vulnerabilità come Log4j.
... E lo stesso presidente
Un SBOM è stato messo in primo piano come parte fondamentale della soluzione presentata dal presidente in Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Cosa fornisce AlmaLinux
The AlmaLinux Build System ha implementato l'SBOM nella pipeline per i motivi elencati sopra, al fine di:
- Tracciare l'intero processo di compilazione, dall'estrazione dei codici sorgente dai repository git di CentOS alla distribuzione di un pacchetto verificato e firmato nel repository pubblico.
- Rendere la pipeline di compilazione più sicura, garantendo che siano utilizzate solo codici sorgente attendibili, evitando conseguenze di attacchi, ecc.
- Ridurre il numero di modi in cui i dati possono essere corrotti
Come stiamo facendo questo?
AlmaLinux si avvale del software open source di Codenotary immudb per fornire agli amministratori autenticazione, verifica e completa visibilità dell'SBOM.
- The AlmaLinux Build System stores SBOM data inside of immudb, lo standard per il software open source per database immutabili, utilizzato da alcune delle principali aziende e governi del mondo.
- immudb is protected against tampering. All attestation data is integrity-checked and cryptographically verified by clients. Nessuno può modificare questi dati, né AlmaLinux né chiunque altro.
- immudb is also protected against MITM attacks. La chiave di crittografia è verificata lato client e controllata prima di ogni comunicazione.
Per iniziare
Per ulteriori informazioni, consultare il wiki di Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration