AlmaLinux는 릴리스에 대한 SBOM(Software Bill of Materials)을 제공합니다.
SBOM이란 무엇입니까?
SBOM은 Software Bill of Materials의 약자로 코드베이스의 "성분 목록"과 비슷합니다. 사용되는 오픈 소스 및 타사 구성 요소, 라이센스 정보, 구성 요소 등 소프트웨어의 내용을 식별하는 데 도움이 됩니다. 버전 및 해당 구성 요소에 알려진 취약점이 있는지 여부.
SBOM은 "재료 목록"이고, 코드는 재료이며, 빌드 시스템은 이러한 재료가 소비하는 최종 소프트웨어에 내장되는 "부엌"입니다.
SBOM이 중요한 이유는 무엇입니까?
오픈 소스 소프트웨어는 애플리케이션에서 광범위하게 사용되지만 이로 인해 세간의 이목을 끄는 해킹과 취약점이 발견되었습니다. SBOM은 오픈 소스 커뮤니티와 사용자에게 훨씬 더 많은 투명성을 제공하고 (위험한 경우) 개별 파일, 라이브러리, 종속성 등을 식별하는 효율적인 방법을 제공하여 사용에 대한 신뢰와 확신을 높입니다. 오픈 소스 소프트웨어.
The Linux Foundation 도 그렇게 생각…
Linux Foundation과 OpenSSF(Open Source Security Foundation)는 또한 Source Software Security Mobilization Plan 이는 Log4j와 같은 미래의 취약점을 신속하게 발견하고 대응하기 위해 SBOM을 포함한 소프트웨어 구성 요소 프레임워크를 개발하기 위한 업계의 조치를 요구합니다.
...그리고 대통령 자신
위에 열거한 이유로 SBOM을 파이프라인에 구현하여 활성화하기 위해 Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
AlmaLinux가 제공하는 것
The AlmaLinux Build System 의장이 제시한 솔루션의 핵심 부분으로 SBOM이 주목받고 있습니다:
- CentOS git 리포지토리에서 소스를 가져오는 것부터 공개 리포지토리에서 검증되고 서명된 패키지를 릴리스하는 것까지 전체 빌드 프로세스를 추적합니다.
- 신뢰할 수 있는 소스만 빌드에 사용되도록 하고 공격 결과를 방지하는 등 빌드 파이프라인을 보다 안전하게 만듭니다.
- 데이터 손상 방법의 수 감소
우리는 이것을 어떻게 하고 있습니까?
AlmaLinux는 Codenotary의 오픈 소스를 활용하고 있습니다. Community Attestation Service (CAS) 관리자에게 인증, 확인 및 전체 SBOM 가시성을 제공합니다.
- CAS는 모든 서명을 내부에 저장합니다. immudb, 세계 유수 기업 및 정부에서 사용하는 변경 불가능한 데이터베이스용 오픈 소스 표준입니다.
- CAS는 변조로부터 보호됩니다. 모든 증명 데이터는 CAS 클라이언트에서 무결성을 확인하고 암호로 확인합니다. AlmaLinux나 다른 누구도 이 데이터를 변경할 수 없습니다.
- CAS는 또한 MITM 공격으로부터 보호됩니다. 암호화 키는 모든 통신 전에 클라이언트 측에서 확인되고 확인됩니다.
시작하기
자세한 내용은 Almalinux 위키를 참조하십시오: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration