Solarwinds programvara försörjningskedjan attack är den som alla känner till. Men attacker i leveranskedjan börjar bli vanliga, och det är dåliga nyheter. Det finns ansträngningar på gång, till exempel Linux Foundations Software Package Data Exchange®-projekt (SPDX), som säkerställer transparens och förbättrar efterlevnaden för mjukvaruförteckningar (SBOM). Men vi behöver SBOM nu.
Som president Joseph Bidens verkställande order om att förbättra nationens cybersäkerhet säger, måste vi förse “en köpare med en SBOM för varje ansökan.” Codenotary Community Attestation Service vill hjälpa dig med det.
Det är en gratis tjänst för notarisering och verifiering med öppen källkod. Dess moderbolag Codenotary lovar att det kommer att göra det möjligt för företag att enkelt skapa en SBOM, som intygar ursprunget och säkerheten för deras kod.
Community Attestation Service tillhandahåller end-to-end-skydd för programvaruutveckling och arbetsbelastningar. Codenotary lovar också att den är skalbar till miljontals transaktioner per sekund, vilket gör den idealisk för kontinuerlig integration/kontinuerlig leverans (CI/CD)-tjänster. Det ger utvecklare ett sätt att bifoga en manipuleringssäker SBOM för utvecklingsartefakter som inkluderar källkod, builds, arkiv och Docker-containerbilder.
Dessa SBOM är byggda utan att ladda upp någon data till tjänsten. Istället notariserar den dessa artefakter med hjälp av kryptografisk verifiering för att unikt identifiera utvecklingsartefakter. Varje artefakt behåller en kryptografiskt stark identitet lagrad i Codenotarys oföränderliga databas, immudb. Detta är en snabb och kryptografiskt verifierbar reskontradatabas.
Detta, till skillnad från andra SBOM-system, ger ingen garanti om säkerheten för komponenterna i ditt program. Vad den gör är att försäkra dina kunder om att programmen, koden, biblioteken, behållarbilderna och så vidare verkligen är de du har lovat dem. Det här är ingen liten sak.
“Fler och fler mjukvaruföretag uppmanas av sina kunder att tillhandahålla en mjukvarulista och att ge garantier om dess sanning”, säger Dennis Zimmer, Codenotarys medgrundare och CTO. “Vi tillhandahåller ett enkelt sätt för utvecklare att bygga en SBOM och låta sina kunder och användare veta att deras programvara är kryptografiskt och mycket lätt att verifiera, vilket effektivt möjliggör leverans av äkta Zero Trust-applikationer.”
Detta är mer än bara ett löfte. Home Assistant, ett hemautomationsföretag med öppen källkod med hundratusentals användare, använder Codenotarys Community Attestation Service för att säkerställa att endast dess godkända kod körs i hemmen med hjälp av dess Internet-of-Things (IoT) programvara.
“Den öppna källkodsnaturen hos Community Attestation Service, den enkla integrationen och återkallelsen i realtid är en verklig spelomvandlare”, säger Pascal Vizeli, Home Assistants grundare och kärnutvecklare. “Det är så programvaruförtroende och integritet ska se ut och kännas.”
Home Assistant är inte den enda som har köpt in sig på Codenotarys tillvägagångssätt. Jack Aboutboul, community manager för CentOS-ersättningen Linux-distro AlmaLinux, sa: “AlmaLinux arbetar på integration med Community Attestation Service för att tillhandahålla en säker mjukvaruförteckning för AlmaLinux OS-distributionen och för att garantera härkomsten av våra builds.”< /p>
Låter det intressant? Gå över till Community Attestation Service och börja skapa dina egna manipuleringssäkra SBOMs.
Relaterade berättelser:
Linux och öppen källkod möter Bidens cybersäkerhetsutmaningLinux Foundation tillkännager ny signeringstjänst med öppen källkodSolarWinds försvar: Hur man stoppar liknande attacker Open Source | Moln | Big Data Analytics | Innovation | Teknik och arbete | Samarbete