AlmaLinux poskytuje pre svoje vydania softvérový zoznam materiálov (SBOM).
Čo je SBOM?
SBOM, čo je skratka pre Software Bill of Materials, je niečo podobné „zoznamu zložiek“ pre kódovú základňu. Pomáha identifikovať obsah softvéru vrátane toho, aké open source komponenty a komponenty tretích strán sa používajú, licenčné informácie, komponenty' verzie a či sú v týchto komponentoch známe nejaké slabé miesta.
SBOM je „zoznam prísad“, kód sú prísady, zostavovací systém je „kuchyňa“, kde sú tieto prísady zabudované do konečného softvéru, ktorý spotrebúvate.
Prečo sú SBOM dôležité?
Softvér s otvoreným zdrojovým kódom sa vo veľkej miere používa v aplikáciách, ale viedol k objaveniu vysokoprofilových hackov a zraniteľností. SBOM sú určené na to, aby poskytli komunite a používateľom open source ešte väčšiu transparentnosť a efektívny spôsob identifikácie (v prípade rizika) jednotlivých súborov, knižníc, závislostí atď., čím sa zvyšuje dôveryhodnosť softvér s otvoreným zdrojovým kódom.
The Linux Foundation tiež si to myslí…
Linux Foundation a Open Source Security Foundation (OpenSSF) tiež vytvorili plán s názvom Source Software Security Mobilization Plan ktorý si vyžaduje odvetvové opatrenia na vývoj rámcov softvérových komponentov, vrátane SBOM, s cieľom urýchliť odhalenie a reakciu na budúce zraniteľnosti, ako je Log4j.
...a sám prezident
SBOM bol zdôraznený ako kľúčová súčasť riešenia, ktoré predstavil prezident v Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
Čo AlmaLinux poskytuje
The AlmaLinux Build System implementoval SBOM do potrubia z dôvodov uvedených vyššie, aby umožnil:
- Sledovanie celého procesu zostavovania od sťahovania zdrojov z git repozitárov CentOS po uvoľnenie overeného a podpísaného balíka vo verejnom úložisku
- Zvýšenie bezpečnosti pri zostavovaní, ako je zaistenie toho, aby sa na zostavovanie používali iba dôveryhodné zdroje, vyhýbanie sa následkom útoku atď
- Zníženie počtu spôsobov poškodenia údajov
Ako to robíme?
AlmaLinux využíva otvorený zdroj Codenotary Community Attestation Service (CAS) poskytnúť správcom autentifikáciu, overenie a úplnú viditeľnosť SBOM.
- CAS ukladá všetky podpisy vo vnútri immudb, štandard pre open source pre nemenné databázy, ktorý používajú niektoré z popredných svetových spoločností a vlád.
- CAS je chránená proti neoprávnenej manipulácii. Všetky atestačné údaje sú kontrolované a kryptograficky overené klientom CAS. Nikto nemôže zmeniť tieto údaje, ani AlmaLinux ani nikto iný.
- CAS je tiež chránený proti útokom MITM. Šifrovací kľúč je overený a kontrolovaný na strane klienta pred každou komunikáciou.
Začíname
Ďalšie informácie nájdete na wiki Almalinux: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration