AlmaLinux proporciona una lista de materiales software (SBOM) para sus versiones.
¿Qué es una SBOM?
SBOM (lista de materiales software, «Software Bill of Materials») es algo así como la «lista de ingredientes» de un código base. Ayuda a identificar el contenido del software, incluidos los componentes de código abierto y de terceros que se utilizan, la información de las licencias, los componentes' versiones y si hay alguna vulnerabilidad conocida en esos componentes.
La SBOM es la «lista de ingredientes», el código son los ingredientes y el sistema de construcción es la «cocina» donde esos ingredientes se construyen en la pieza final de software que usa.
¿Por qué las SBOM son importantes?
El software de código abierto se usa ampliamente en aplicaciones, pero ha llevado al descubrimiento de vulnerabilidades de perfil alto. Las SBOM están destinadas a proporcionar a la comunidad y a los usuarios de código abierto aún más transparencia y una forma eficiente de identificar (en caso de riesgo) archivos individuales, bibliotecas, dependencias, etc. aumentando así la confianza en el uso de software de código abierto.
The Linux Foundation también lo piensa…
La Fundación Linux y la Fundación de Seguridad de Código Abierto (OpenSSF) también han elaborado un plan llamado Source Software Security Mobilization Plan lo que exige la acción de la industria para desarrollar marcos de componentes de software, incluidas SBOMs, para acelerar el descubrimiento y la respuesta a vulnerabilidades futuras como Log4j.
...Y el propio presidente
Se ha subrayado una SBOM como una parte clave de la solución presentada por el presidente en el Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Qué ofrece AlmaLinux
The AlmaLinux Build System ha implementado SBOM en el flujo por las razones enumeradas anteriormente, para permitir:
- Siguiendo todo el proceso de compilación, desde la extracción de fuentes de los repositorios git de CentOS hasta la liberación de un paquete verificado y firmado en el repositorio público
- Hacer que la creación de un flujo sea más segura, como garantizar que solo se utilicen fuentes confiables para las compilaciones, evitar ataques, etc
- Reducir el número de formas de corrupción de datos
¿Cómo estamos haciendo esto?
AlmaLinux aprovecha el código abierto de Codenotary Community Attestation Service (CAS) para proporcionar a los administradores autenticación, verificación y visibilidad completa de SBOM.
- CAS almacena todas las firmas dentro de immudb, el estándar de código abierto para bases de datos inmutables, utilizado por algunas de las principales empresas y gobiernos del mundo.
- El CAS está protegido contra la manipulación. El cliente CAS comprueba la integridad y verifica criptográficamente todos los datos de la certificación. Nadie puede cambiar estos datos, ni AlmaLinux ni nadie.
- CAS también está protegido contra ataques MITM. La clave de cifrado se verifica en el lado del cliente y se verifica antes de cada comunicación.
Primeros pasos
Para más información, consulte la wiki de Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration