Join us for the very first AlmaLinux Day! December 9th in Tokyo, Japan. Save your spot now!

Informazioni sul Software Bill of Materials (SBOM) di AlmaLinux

AlmaLinux fornisce un Software Bill of Materials (SBOM) per le sue versioni.

Cos'è un SBOM?

L'SBOM, acronimo di Software Bill of Materials, è qualcosa di simile a un "elenco degli ingredienti" per una base di codice. Aiuta a identificare il contenuto del software, inclusi i componenti open source e di terze parti utilizzati, le informazioni sulla licenza, le versioni dei componenti e la presenza di eventuali vulnerabilità conosciute in tali componenti.

L'SBOM è un "elenco degli ingredienti", il codice sono gli ingredienti, il sistema di compilazione è la "cucina" in cui tali ingredienti vengono trasformati nell'ultimo pezzo di software che si consuma.

Perché sono importanti gli SBOM?

Il software open source viene ampiamente utilizzato nelle applicazioni, ma ha portato alla scoperta di hack e vulnerabilità di alto profilo. Gli SBOM sono destinati a fornire alla comunità e agli utenti del software open source ancora più trasparenza e un modo efficiente per identificare (in caso di rischio) singoli file, librerie, dipendenze, ecc., aumentando così la fiducia nell'uso del software open source.

The Linux Foundation pensa così anche…

La Linux Foundation e l'Open Source Security Foundation (OpenSSF) hanno prodotto anche un piano chiamato il Source Software Security Mobilization Plan che invita l'industria a sviluppare strutture di componenti software, compresi gli SBOM, per accelerare la scoperta e la risposta alle future vulnerabilità come Log4j.

... E lo stesso presidente

Un SBOM è stato messo in primo piano come parte fondamentale della soluzione presentata dal presidente in Executive Order on Improving the Nation’s Cybersecurity.

"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."

Cosa fornisce AlmaLinux

The AlmaLinux Build System ha implementato l'SBOM nella pipeline per i motivi elencati sopra, al fine di:

  • Tracciare l'intero processo di compilazione, dall'estrazione dei codici sorgente dai repository git di CentOS alla distribuzione di un pacchetto verificato e firmato nel repository pubblico.
  • Rendere la pipeline di compilazione più sicura, garantendo che siano utilizzate solo codici sorgente attendibili, evitando conseguenze di attacchi, ecc.
  • Ridurre il numero di modi in cui i dati possono essere corrotti

Come stiamo facendo questo?

AlmaLinux si avvale del software open source di Codenotary Community Attestation Service (CAS) per fornire agli amministratori autenticazione, verifica e completa visibilità dell'SBOM.

  • CAS memorizza tutte le firme all'interno del immudb, lo standard per il software open source per database immutabili, utilizzato da alcune delle principali aziende e governi del mondo.
  • CAS è protetto contro la manipolazione. Tutti i dati di attestazione vengono verificati per l'integrità e verificati criptograficamente dal client CAS. Nessuno può modificare questi dati, né AlmaLinux né chiunque altro.
  • CAS è anche protetto contro gli attacchi MITM. La chiave di crittografia è verificata lato client e controllata prima di ogni comunicazione.

Per iniziare

Per ulteriori informazioni, consultare il wiki di Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration