Az AlmaLinux szoftveranyag-jegyzéket (SBOM) biztosít a kiadásaihoz.
Mi az az SBOM?
Az SBOM, amely a Software Bill of Materials rövidítése, valami hasonló a kódbázis „összetevőlistájához”. Segít azonosítani a szoftver tartalmát, beleértve a használt nyílt forráskódú és harmadik féltől származó összetevőket, a licencinformációkat, az összetevőket' verziók, és ha van-e ismert sebezhetőség ezekben az összetevőkben.
Az SBOM az „összetevők listája”, a kód az összetevők, a felépítési rendszer a „konyha”, ahol ezek az összetevők beépülnek a végső szoftverbe, amelyet felhasználunk.
Miért fontosak az SBOM-ok?
A nyílt forráskódú szoftvereket széles körben használják alkalmazásokban, de ez nagy horderejű feltörések és sebezhetőségek felfedezéséhez vezetett. Az SBOM-ok célja, hogy a közösség és a nyílt forráskód felhasználói számára még nagyobb átláthatóságot biztosítsanak, és hatékony módszert nyújtsanak (kockázat esetén) az egyes fájlok, könyvtárak, függőségek stb. nyílt forráskódú szoftver.
The Linux Foundation azt is gondolja…
A Linux Foundation és az Open Source Security Foundation (OpenSSF) is elkészített egy tervet az úgynevezett Source Software Security Mobilization Plan amely iparági fellépést igényel a szoftverkomponens-keretrendszerek, köztük az SBOM-ok fejlesztése érdekében, hogy felgyorsítsák a jövőbeli biztonsági rések, például a Log4j felderítését és az azokra való reagálást.
...És maga az elnök
Az SBOM az elnök által bemutatott megoldás kulcsfontosságú részeként került a figyelem középpontjába Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Amit az AlmaLinux biztosít
The AlmaLinux Build System a fent felsorolt okok miatt telepítette az SBOM-ot a folyamatba, hogy lehetővé tegye:
- A teljes összeállítási folyamat nyomon követése a források lehívásától a CentOS git-tárolókból az ellenőrzött és aláírt csomag nyilvános tárolóban való kiadásáig
- A build-folyamat biztonságosabbá tétele, például annak biztosítása, hogy csak megbízható forrásokat használjanak a buildekhez, a támadások következményeinek elkerülése stb.
- Az adatsérülési módok számának csökkentése
Hogyan csináljuk ezt?
Az AlmaLinux a Codenotary nyílt forráskódját használja Community Attestation Service (CAS) hogy a rendszergazdák számára hitelesítést, ellenőrzést és teljes SBOM láthatóságot biztosítson.
- A CAS az összes aláírást a belsejében tárolja immudb, a megváltoztathatatlan adatbázisok nyílt forráskódú szabványa, amelyet a világ néhány vezető vállalata és kormánya használ.
- A CAS védett a manipuláció ellen. Minden tanúsítási adatot a CAS-kliens sértetlenségét és kriptográfiailag ellenőrzi. Senki nem módosíthatja ezeket az adatokat, sem AlmaLinux, sem bárki más.
- A CAS védett a MITM támadásokkal szemben is. A titkosítási kulcsot az ügyféloldal ellenőrzi és minden kommunikáció előtt ellenőrzi.
Elkezdeni
További információkért lásd az Almalinux wikit: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration