Join us for the very first AlmaLinux Day! December 9th in Tokyo, Japan. Save your spot now!

Informace o softwarovém seznamu komponent (SBOM) systému AlmaLinux

AlmaLinux poskytuje Seznam komponent softwaru (SBOM) pro své vydání.

Co je SBOM?

SBOM, zkratka pro Seznam komponent softwaru (Software Bill of Materials), je něco podobného jako "seznam ingrediencí" pro kódovou základnu. Pomáhá identifikovat obsah softwaru, včetně použitých open source a třetích komponent, informace o licencích, verze komponent a zda jsou v těchto komponentách známy nějaké bezpečnostní zranitelnosti.

SBOM je "seznam ingrediencí", kód představuje ingredience, a systém sestavení je "kuchyně", kde se tyto ingredience sestavují do finálního kusu softwaru, který konzumujete.

Proč jsou SBOMs důležité?

Open source software je široce využíván v aplikacích, ale vedlo to k odhalení známých hacků a bezpečnostních zranitelností. SBOM má za úkol poskytnout komunitě a uživatelům open source ještě větší transparentnost a efektivní způsob, jak identifikovat (v případě rizika) jednotlivé soubory, knihovny, závislosti apod., čímž se zvyšuje důvěra a sebevědomí při používání open source softwaru.

The Linux Foundation taky si myslí…

The Linux Foundation a Open Source Security Foundation (OpenSSF) také vytvořily plán nazvaný Source Software Security Mobilization Plan který vyzývá průmysl k akci na vývoj softwarových komponentních rámců, včetně SBOM, aby urychlil odhalování a reakci na budoucí zranitelnosti jako například Log4j.

...A sám prezident

... SBOM byl zdůrazněn jako klíčová část řešení, kterou prezident představil v Executive Order on Improving the Nation’s Cybersecurity.

"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."

Co poskytuje AlmaLinux

The AlmaLinux Build System implementoval SBOM do potrubí (pipeline) z výše uvedených důvodů, aby umožnil:

  • Sledování celého procesu sestavení od stažení zdrojů z repozitářů CentOS Git až po vydání ověřeného a podepsaného balíčku v veřejném repozitáři
  • Zabezpečení sestavení potrubí, jako například zajistění, že jsou pro sestavení používány pouze důvěryhodné zdroje, a předejít důsledkům útoků atd.
  • Snížení počtu způsobů poškození dat

Jak to děláme?

AlmaLinux využívá otevřený zdrojový kód od společnosti Codenotary Community Attestation Service (CAS) aby poskytla správcům autentizaci, ověření a plnou viditelnost SBOM.

  • CAS ukládá všechny podpisy dovnitř immudb, standardu pro nezměnitelné databáze v open source, který je používán některými předními světovými společnostmi a vládami.
  • CAS je chráněn proti manipulaci. Všechna data o ověření jsou kontrolována z hlediska integrity a kryptograficky ověřena klientem CAS. Nikdo nemůže tato data změnit, ani AlmaLinux, ani kdokoliv jiný.
  • CAS je také chráněn proti útokům typu Man-in-the-Middle (MITM). Klíč pro šifrování je ověřen na straně klienta a je kontrolován před každou komunikací.

Začínáme

Pro více informací navštivte AlmaLinux wiki: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration