AlmaLinux poskytuje pre svoje vydania softvérový zoznam materiálov (SBOM).
Čo je SBOM?
SBOM, čo je skratka pre Software Bill of Materials, je niečo podobné „zoznamu zložiek“ pre kódovú základňu. Pomáha identifikovať obsah softvéru vrátane toho, aké open source komponenty a komponenty tretích strán sa používajú, licenčné informácie, komponenty' verzie a či sú v týchto komponentoch známe nejaké slabé miesta.
SBOM je „zoznam prísad“, kód sú prísady, zostavovací systém je „kuchyňa“, kde sú tieto prísady zabudované do konečného softvéru, ktorý spotrebúvate.
Prečo sú SBOM dôležité?
Softvér s otvoreným zdrojovým kódom sa vo veľkej miere používa v aplikáciách, ale viedol k objaveniu vysokoprofilových hackov a zraniteľností. SBOM sú určené na to, aby poskytli komunite a používateľom open source ešte väčšiu transparentnosť a efektívny spôsob identifikácie (v prípade rizika) jednotlivých súborov, knižníc, závislostí atď., čím sa zvyšuje dôveryhodnosť softvér s otvoreným zdrojovým kódom.
The Linux Foundation tiež si to myslí…
Linux Foundation a Open Source Security Foundation (OpenSSF) tiež vytvorili plán s názvom Source Software Security Mobilization Plan ktorý si vyžaduje odvetvové opatrenia na vývoj rámcov softvérových komponentov, vrátane SBOM, s cieľom urýchliť odhalenie a reakciu na budúce zraniteľnosti, ako je Log4j.
...a sám prezident
SBOM bol zdôraznený ako kľúčová súčasť riešenia, ktoré predstavil prezident v Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Čo AlmaLinux poskytuje
The AlmaLinux Build System implementoval SBOM do potrubia z dôvodov uvedených vyššie, aby umožnil:
- Sledovanie celého procesu zostavovania od sťahovania zdrojov z git repozitárov CentOS po uvoľnenie overeného a podpísaného balíka vo verejnom úložisku
- Zvýšenie bezpečnosti pri zostavovaní, ako je zaistenie toho, aby sa na zostavovanie používali iba dôveryhodné zdroje, vyhýbanie sa následkom útoku atď
- Zníženie počtu spôsobov poškodenia údajov
Ako to robíme?
AlmaLinux využíva otvorený zdroj Codenotary immudb poskytnúť správcom autentifikáciu, overenie a úplnú viditeľnosť SBOM.
- The AlmaLinux Build System stores SBOM data inside of immudb, štandard pre open source pre nemenné databázy, ktorý používajú niektoré z popredných svetových spoločností a vlád.
- immudb is protected against tampering. All attestation data is integrity-checked and cryptographically verified by clients. Nikto nemôže zmeniť tieto údaje, ani AlmaLinux ani nikto iný.
- immudb is also protected against MITM attacks. Šifrovací kľúč je overený a kontrolovaný na strane klienta pred každou komunikáciou.
Začíname
Ďalšie informácie nájdete na wiki Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration