انضم إلينا في يوم AlmaLinux الأول! 9 ديسمبر في طوكيو، اليابان. إحفظ مكانك الآن!

معلومات قائمة مواد برنامج AlmaLinux (SBOM)

توفر AlmaLinux قائمة المواد البرمجية (SBOM) لإصداراتها.

ما هو SBOM؟

SBOM، الذي يرمز إلى قائمة مواد البرنامج، هو شيء يشبه "قائمة المكونات" لقاعدة التعليمات البرمجية. فهو يساعد في تحديد محتويات البرنامج، بما في ذلك المكونات مفتوحة المصدر ومكونات الطرف الثالث المستخدمة ومعلومات الترخيص وإصدارات المكونات وما إذا كانت هناك أي ثغرات أمنية معروفة في تلك المكونات.

SBOM هي "قائمة المكونات"، والكود هو المكونات، ونظام البناء هو "المطبخ" حيث يتم دمج هذه المكونات في الجزء الأخير من البرنامج الذي تستهلكه.

لماذا تعتبر SBOMs مهمة؟

تُستخدم البرامج مفتوحة المصدر على نطاق واسع في التطبيقات، ولكنها أدت إلى اكتشاف عمليات اختراق ونقاط ضعف رفيعة المستوى. تهدف SBOMs إلى تزويد المجتمع ومستخدمي المصدر المفتوح بمزيد من الشفافية، وطريقة فعالة لتحديد (في حالة وجود خطر) الملفات الفردية والمكتبات والتبعيات وما إلى ذلك وبالتالي زيادة الثقة في استخدام برمجيات مفتوحة المصدر.

The Linux Foundation يعتقد ذلك أيضا…

أنتجت مؤسسة Linux ومؤسسة Open Source Security Foundation (OpenSSF) أيضًا خطة تسمى Source Software Security Mobilization Plan والذي يدعو إلى اتخاذ إجراءات من جانب الصناعة لتطوير أطر عمل مكونات البرامج، بما في ذلك SBOMs، لتسريع اكتشاف نقاط الضعف المستقبلية والاستجابة لها مثل Log4j.

...والرئيس نفسه

وقد تم تسليط الضوء على SBOM كجزء أساسي من الحل الذي قدمه الرئيس في Executive Order on Improving the Nation’s Cybersecurity.

"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."

ما تقدمه شركة ألما لينكس

The AlmaLinux Build System قامت بتطبيق SBOM في المسار للأسباب المذكورة أعلاه، لتمكين:

  • تتبع عملية البناء بأكملها بدءًا من سحب المصادر من مستودعات CentOS git وحتى إصدار حزمة تم التحقق منها وتوقيعها في المستودع العام
  • جعل مسار البناء أكثر أمانًا مثل ضمان استخدام المصادر الموثوقة فقط للبنيات، وتجنب عواقب الهجوم، وما إلى ذلك
  • تقليل عدد طرق تلف البيانات

كيف نفعل ذلك؟

تستفيد AlmaLinux من المصدر المفتوح لـ Codenotary Community Attestation Service (CAS) لتزويد المسؤولين بالمصادقة والتحقق والرؤية الكاملة لـ SBOM.

  • تقوم CAS بتخزين كافة التوقيعات داخل immudb، وهو معيار المصدر المفتوح لقواعد البيانات غير القابلة للتغيير، والذي تستخدمه بعض الشركات والحكومات الرائدة في العالم.
  • CAS محمية ضد العبث. يتم التحقق من سلامة جميع بيانات التصديق والتحقق من تشفيرها بواسطة عميل CAS. لا يمكن لأحد تغيير هذه البيانات، لا AlmaLinux أو أي شخص آخر.
  • CAS محمي أيضًا ضد هجمات MITM. يتم التحقق من مفتاح التشفير من جانب العميل والتحقق منه قبل كل اتصال.

ابدء

لمزيد من المعلومات، راجع ويكي Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration