O AlmaLinux fornece um Software Bill of Materials (SBOM, uma lista de materiais) para os lançamentos.
O que é um SBOM?
SBOM é a forma abreviada de Software Bill of Materials, é mais ou menos como a “lista de materiais” em uma codebase. Isso ajuda a identificar os conteúdos de um software, incluindo o que open source e quais componentes de terceiros estão sendo usados, informação de licenciamento, componentes versões e se existem vulnerabilidades conhecidas nesses componentes.
O SBOM é a “lista de ingredientes”, o código são os ingredientes, o sistema que faz o build é a “cozinha” onde esses ingredientes são finalizados no software final que você usa.
Por que os SBOMs são importantes?
Software open source é extensivamente usado em aplicações, mas isso tem levado a descoberta de vulnerabilidades e hacks altamente perigosos. SBOMs têm o objetivo de fornecer ainda mais transparência à comunidade e usuários de software open source, bem como uma maneira eficiente de identificar (em caso de risco) arquivos individuais, bibliotecas, dependências, etc. Assim, aumentando a confiança no uso de um software open source.
The Linux Foundation pensa assim também…
A Linux Foundation e a Open Source Security Foundation (OpenSSF) também elaboraram um plano chamado Source Software Security Mobilization Plan que pede a ação da indústria para desenvolver frameworks componentes, incluindo SBOMs, para agilizar a descoberta e a resposta à futuras vulnerabilidades como o Log4j.
...E o próprio presidente
Um SBOM foi destacado como uma parte principal para a solução apresentada pelo presidente na Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
O que o AlmaLinux Fornece
The AlmaLinux Build System Tem implementado um SBOM no pipeline pelas razões citadas acima, para possibilitar:
- Rastrear o inteiro processo de build desde pegar o código fonte dos repositórios git do CentOS até o lançamento de um pacote assinado e verificado em um repositório público
- Tornando a build da pipeline mais segura garantindo que somente fontes confiáveis serão usados, evitando consequências de um ataque, etc
- Reduzir a quantidade de opções de corrupção de dados
Como nós fazemos isso?
O AlmaLinux está impulsionando o open source do Codenotary immudb para fornecer administradores com autenticação, verificação e visibilidade total SBOM.
- AlmaLinux Build System armazena os dados SBOM dentro de immudb, o padrão open source para banco de dados imutáveis, usados por algumas da empresas e governos no mundo.
- immudb é protegido contra adulterações. Todos os dados do atestado são verificados quanto à integridade e criptograficamente pelos clientes. Ninguém consegue alterar estes dados, nem mesmo o AlmaLinux ou qualquer pessoa.
- Immudb também é protegido contra ataques MITM. A chave criptográfica é verificada do lado do cliente e checada em cada comunicação.
Começando
Para mais informação, veja a wiki AlmaLinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration