AlmaLinux, sürümleri için bir Yazılım Malzeme Listesi (SBOM) sağlar.
SBOM nedir?
Yazılım Malzeme Listesi anlamına gelen SBOM, bir kod tabanı için "içerik listesi"ne benzer bir şeydir. Hangi açık kaynak ve üçüncü taraf bileşenlerin kullanıldığı, lisans bilgileri, bileşenler' sürümleri ve bu bileşenlerde bilinen güvenlik açıkları olup olmadığı.
SBOM "içerik listesi"dir, kod bileşenlerdir, yapım sistemi bu bileşenlerin tükettiğiniz son yazılım parçasına yerleştirildiği "mutfaktır".
SBOM'lar neden önemlidir?
Açık kaynaklı yazılım, uygulamalarda yaygın olarak kullanılmaktadır, ancak yüksek profilli saldırıların ve güvenlik açıklarının keşfedilmesine yol açmıştır. SBOM'lar, topluluğa ve açık kaynak kullanıcılarına daha fazla şeffaflık ve (bir risk durumunda) bireysel dosyaları, kitaplıkları, bağımlılıkları vb. tanımlamanın etkili bir yolunu sağlamayı ve böylece kullanımına olan güveni ve güveni artırmayı amaçlamaktadır. açık kaynaklı yazılım.
The Linux Foundation da öyle düşünüyor…
Linux Foundation ve Open Source Security Foundation (OpenSSF) da şu adla bir plan oluşturmuştur: Source Software Security Mobilization Plan Log4j gibi gelecekteki güvenlik açıklarının keşfedilmesini ve bunlara yanıt verilmesini hızlandırmak için SBOM'lar da dahil olmak üzere yazılım bileşeni çerçeveleri geliştirmek için endüstri eylemi çağrısında bulunan.
...Ve başkanın kendisi
Bir SBOM, cumhurbaşkanı tarafından sunulan çözümün önemli bir parçası olarak öne çıktı. Executive Order on Improving the Nation’s Cybersecurity.
"the term “Software Bill of Materials” or “SBOM” means a formal record containing the details and supply chain relationships of various components used in building software. Software developers and vendors often create products by assembling existing open source and commercial software components. The SBOM enumerates these components in a product. It is analogous to a list of ingredients on food packaging."
AlmaLinux'un Sağladıkları
The AlmaLinux Build System aşağıdakileri sağlamak için yukarıda listelenen nedenlerle SBOM'u ardışık düzene uygulamıştır:
- CentOS git depolarından kaynak çekmekten, doğrulanmış ve imzalanmış bir paketi genel depoda yayınlamaya kadar tüm oluşturma sürecini izleme
- Derlemeler için yalnızca güvenilir kaynakların kullanılmasını sağlamak, saldırı sonuçlarından kaçınmak vb. gibi derleme ardışık düzenini daha güvenli hale getirme
- Veri bozulma yollarının sayısını azaltmak
Bunu nasıl yapıyoruz?
AlmaLinux, Codenotary'nin açık kaynağından yararlanıyor Community Attestation Service (CAS) yöneticilere kimlik doğrulama, doğrulama ve tam SBOM görünürlüğü sağlamak.
- CAS tüm imzaları içinde saklar. immudb, dünyanın önde gelen bazı şirketleri ve hükümetleri tarafından kullanılan değişmez veritabanları için açık kaynak standardı.
- CAS kurcalamaya karşı korumalıdır. Tüm tasdik verileri, CAS istemcisi tarafından bütünlük kontrolünden geçirilir ve kriptografik olarak doğrulanır. Bu verileri AlmaLinux veya başka biri değiştiremez.
- CAS ayrıca MITM saldırılarına karşı korumalıdır. Şifreleme anahtarı, istemci tarafında doğrulanır ve her iletişimden önce kontrol edilir.
Başlarken
Daha fazla bilgi için Almalinux wiki'sine bakın: https://github.com/AlmaLinux/build-system/wiki/Codenotary-SBOM-integration