AlmaLinux надає специфікацію програмного забезпечення (SBOM) для своїх випусків.
Що таке SBOM?
SBOM, що розшифровується як Software Bill of Materials, є чимось на кшталт "списку інгредієнтів" для кодової бази. Це допомагає визначити вміст програмного забезпечення, зокрема, які компоненти з відкритим вихідним кодом та сторонніх розробників використовуються, інформацію про ліцензування, версії компонентів та наявність відомих вразливостей у цих компонентах.
SBOM - це "список інгредієнтів", код - це інгредієнти, а система збірки - це "кухня", де ці інгредієнти вбудовуються в кінцевий продукт, який ви споживаєте.
Чому SBOM важливі?
Програмне забезпечення з відкритим кодом широко використовується в застосунках, але це призвело до виявлення гучних хакерських атак і вразливостей. SBOM мають на меті надати спільноті та користувачам відкритого програмного забезпечення ще більшу прозорість та ефективний спосіб ідентифікації (у випадку ризику) окремих файлів, бібліотек, залежностей тощо, тим самим підвищуючи довіру та впевненість у використанні програмного забезпечення з відкритим вихідним кодом.
The Linux Foundation теж так думає…
Linux Foundation та Open Source Security Foundation (OpenSSF) також розробили план під назвою Source Software Security Mobilization Plan який закликає індустрію розробити фреймворки програмних компонентів, включаючи SBOM, щоб прискорити виявлення майбутніх вразливостей, таких як Log4j, та реагування на них.
...І сам президент
SBOM був висвітлений як ключова частина рішення, представленого президентом в Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Що надає AlmaLinux
The AlmaLinux Build System впровадила SBOM в проєкт з перелічених вище причин, щоб уможливити його реалізацію:
- Відстеження всього процесу збірки від отримання вихідних кодів з git-репозиторіїв CentOS до випуску перевіреного і підписаного пакета в публічний репозиторій
- Зробити конвеєр збірки більш безпечним, наприклад, забезпечити використання тільки перевірених джерел для збірки, уникнути наслідків атак та інше
- Зменшення кількості способів пошкодження даних
Як ми це робимо?
AlmaLinux використовує відкритий код Codenotary immudb надавати адміністраторам автентифікацію, верифікацію та повну видимість SBOM.
- Система складання AlmaLinux зберігає дані SBOM у файлі immudb, стандарт відкритого вихідного коду для незмінних баз даних, що використовується деякими провідними світовими компаніями та урядами.
- immudb захищений від несанкціонованого доступу. Всі дані атестації перевіряються на цілісність і криптографічно підтверджуються клієнтами. Ніхто не може змінити ці дані, ні AlmaLinux, ні будь-хто інший.
- immudb також захищений від MITM-атак. Ключ шифрування перевіряється на стороні клієнта і перевіряється перед кожною передачею даних.
Початок роботи
Для отримання додаткової інформації зверніться до вікі Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration
