AlmaLinux предоставляет спецификацию программного обеспечения (SBOM) для своих выпусков.
Что такое SBOM?
SBOM, что означает «Спецификация программного обеспечения» | “Software Bill of Materials”, представляет собой что-то вроде «списка ингредиентов» для кодовой базы. Это помогает идентифицировать содержимое программного обеспечения, в том числе используемые компоненты с открытым исходным кодом и сторонние компоненты, информацию о лицензировании, components' версии и наличие какие-либо известных уязвимостех в этих компонентах.
SBOM — это «список ингредиентов», код — это ингредиенты, система сборки — это «кухня», где эти ингредиенты встраиваются в окончательную часть программного обеспечения, которое вы используете.
Почему SBOM важны?
Программное обеспечение с открытым исходным кодом широко используется в приложениях, но это привело к обнаружению громких взломов и уязвимостей. SBOM призваны предоставить сообществу и пользователям открытого исходного кода еще большую прозрачность и эффективный способ идентификации (в случае риска) отдельных файлов, библиотек, зависимостей и т. д., тем самым повышая доверие и уверенность в использовании программное обеспечение с открытым исходным кодом.
The Linux Foundation Я тоже так думаю…
Linux Foundation и Open Source Security Foundation (OpenSSF) также разработали план под названием Source Software Security Mobilization Plan который призывает к действиям отрасли по разработке инфраструктур программных компонентов, включая SBOM, для ускорения обнаружения и ответа на будущие уязвимости, такие как Log4j.
...И сам президент
SBOM был отмечен как ключевая часть решения, представленного президентом в Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Что предоставляет AlmaLinux
The AlmaLinux Build System внедрил SBOM в конвейер по причинам, перечисленным выше, чтобы обеспечить:
- Отслеживание всего процесса сборки: от извлечения исходных кодов из git-репозиториев CentOS до выпуска проверенного и подписанного пакета в общедоступном репозитории
- Повышение безопасности конвейера, например обеспечение использования только доверенных источников для сборок, избежание последствий атак и так далее
- Уменьшение количества способов повреждения данных
Как мы это делаем?
AlmaLinux использует открытый исходный код Codenotary immudb чтобы предоставить администраторам аутентификацию, проверку и полную видимость SBOM.
- Система сборки AlmaLinux хранит данные SBOM в immudb, стандарт открытого исходного кода для неизменяемых баз данных, используемых некоторыми ведущими мировыми компаниями и правительствами.
- immudb защищен от несанкционированного доступа. Все данные аттестации проверяются на целостность и криптографически проверяются клиентами. Никто не может изменить эти данные, ни AlmaLinux, ни кто-либо другой.
- immudb также защищен от MITM-атак. Ключ шифрования проверяется на стороне клиента перед каждым обменом данными.
Начало
Чтобы получить больше информации, пожалуйста загляните в AlmaLinux Wiki: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration