AlmaLinux tillhandahåller en Software Bill of Materials (SBOM) för sina utgåvor.
Vad är en SBOM?
SBOM, som står för Software Bill of Materials, är något som liknar en "ingredienslista" för en kodbas. Den hjälper till att identifiera innehållet i programvaran, inklusive vilken öppen källkod och tredjepartskomponenter som används, licensinformation, komponenters' versioner och om det finns några kända sårbarheter i dessa komponenter.
SBOM är "ingredienslistan", koden är ingredienserna, byggsystemet är "köket" där dessa ingredienser kokas in i den färdiga mjukvaran som du konsumerar.
Varför är SBOMs viktiga?
Programvara med öppen källkod används flitigt i applikationer, men dessa har lett till upptäckten av högprofilerade hack och sårbarheter. SBOM:er är avsedda att ge gemenskapen och användare av öppen källkod ännu mer transparens och ett effektivt sätt att identifiera (riskfall) enskilda filer, bibliotek, beroenden etc. och därigenom öka förtroendet och förtroendet för användningen av programvara med öppen källkod.
The Linux Foundation tänker så också…
Linux Foundation och Open Source Security Foundation (OpenSSF) har också tagit fram en plan som heter Source Software Security Mobilization Plan som kräver industriåtgärder för att utveckla ramverk för mjukvarukomponenter, inklusive SBOM, för att påskynda upptäckten av och svar på framtida sårbarheter som Log4j.
...Och presidenten själv
En SBOM har lyfts fram som en viktig del av lösningen som presenterades av presidenten i Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Vad AlmaLinux tillhandahåller
The AlmaLinux Build System har implementerat SBOM i pipeline av de skäl som anges ovan, för att möjliggöra:
- Spåra hela byggprocessen från att hämta källor från CentOS git-förråd till att släppa ett verifierat och signerat paket i det offentliga förrådet
- Att göra byggpipelinen mer säker som att se till att endast betrodda källor används för byggen, undvika attackkonsekvenser etc
- Minska antalet sätt för datakorruption
Hur gör vi det här?
AlmaLinux utnyttjar Codenotarys öppna källkod immudb för att ge administratörer autentisering, verifiering och full SBOM-synlighet.
- AlmaLinux byggsystemet lagrar SBOM-data inuti immudb, standarden för öppen källkod för oföränderliga databaser, som används av några av världens ledande företag och regeringar.
- immudb är skyddat mot manipulering. All attestationsdata är integritetskontrollerad och kryptografiskt verifierad av klienter. Ingen kan ändra denna data, inte AlmaLinux eller någon annan.
- immudb är också skyddat mot MITM-attacker. Krypteringsnyckeln verifieras på klientsidan och kontrolleras före varje kommunikation.
Kom igång
För mer information, se Almalinux wiki: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration