AlmaLinux proporciona una llista de materials de programari (SBOM) per als seus llançaments.
Què és un SBOM?
SBOM, que significa Software Bill of Materials, és una cosa semblant a una "llista d'ingredients" per a una base de codi. Ajuda a identificar el contingut del programari, inclosos els components de codi obert i de tercers que s'utilitzen, la informació de llicències, els components' versions i si hi ha alguna vulnerabilitat coneguda en aquests components.
El SBOM és la "llista d'ingredients", el codi són els ingredients, el sistema de construcció és la "cuina" on aquests ingredients s'incorporen a la peça final de programari que consumeix.
Per què són importants els SBOM?
El programari de codi obert s'utilitza àmpliament en aplicacions, però ha portat al descobriment de pirates i vulnerabilitats d'alt perfil. Els SBOM estan pensats per proporcionar a la comunitat i als usuaris de codi obert encara més transparència i una manera eficient d'identificar (en cas de risc) fitxers individuals, biblioteques, dependències, etc., augmentant així la confiança i la confiança en l'ús de programari de codi obert.
The Linux Foundation també ho pensa…
La Linux Foundation i la Open Source Security Foundation (OpenSSF) també han elaborat un pla anomenat Source Software Security Mobilization Plan que demana l'acció de la indústria per desenvolupar marcs de components de programari, inclosos els SBOM, per accelerar el descobriment i la resposta a futures vulnerabilitats com Log4j.
...I el mateix president
Un SBOM s'ha destacat com a peça clau de la solució presentada pel president al Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Què ofereix AlmaLinux
The AlmaLinux Build System ha implementat SBOM al pipeline per les raons esmentades anteriorment, per habilitar:
- Seguiment de tot el procés de creació des de l'extracció de fonts dels dipòsits git de CentOS fins a l'alliberament d'un paquet verificat i signat al dipòsit públic
- Fer que el pipeline de compilació sigui més segur, com assegurar-se que només s'utilitzen fonts de confiança per a les compilacions, evitar conseqüències d'atac, etc.
- Reduint el nombre de formes de corrupció de dades
Com estem fent això?
AlmaLinux està aprofitant el codi obert de Codenotary Community Attestation Service (CAS) per proporcionar als administradors autenticació, verificació i visibilitat total de SBOM.
- CAS emmagatzema totes les signatures dins immudb, l'estàndard de codi obert per a bases de dades immutables, utilitzat per algunes de les empreses i governs líders del món.
- CAS està protegit contra la manipulació. Totes les dades d'acreditació són verificades per la integritat i verificades criptogràficament pel client CAS. Ningú pot canviar aquestes dades, ni AlmaLinux ni ningú més.
- CAS també està protegit contra atacs MITM. La clau de xifratge es verifica i es verifica al costat del client abans de cada comunicació.
Començant
Per obtenir més informació, consulteu la wiki d'Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration