Solarwinds softwareforsyningskædeangreb er det, alle kender til. Men forsyningskædeangreb er ved at blive almindelige, og det er dårlige nyheder. Der er bestræbelser på vej, såsom Linux Foundations Software Package Data Exchange®-projekt (SPDX), som sikrer gennemsigtighed og forbedrer overholdelse af softwarestykliste (SBOM). Men vi har brug for SBOM'er nu.
Som præsident Joseph Bidens bekendtgørelse om forbedring af nationens cybersikkerhed siger, skal vi give “en køber en SBOM for hver ansøgning.” Codenotary Community Attestation Service vil gerne hjælpe dig med det.
Det er en gratis, open source notariserings- og verifikationstjeneste. Dets moderselskab Codenotary lover, at det vil gøre det muligt for virksomheder nemt at oprette en SBOM, der attesterer deres kodes herkomst og sikkerhed.
Community Attestation Service giver end-to-end-beskyttelse til softwareudvikling og arbejdsbelastninger. Codenotary lover også, at den er skalerbar til millioner af transaktioner i sekundet, hvilket gør den ideel til kontinuerlig integration/kontinuerlig levering (CI/CD)-tjenester. Det giver udviklere en måde at vedhæfte en manipulationssikker SBOM til udviklingsartefakter, der inkluderer kildekode, builds, repositories og Docker-containerbilleder.
Disse SBOM'er er bygget uden at uploade nogen data til tjenesten. I stedet notariserer den disse artefakter ved hjælp af kryptografisk verifikation til entydigt at identificere udviklingsartefakter. Hver artefakt beholder en kryptografisk stærk identitet gemt i Codenotarys uforanderlige database, immudb. Dette er en hurtig og kryptografisk verificerbar hovedbogsdatabase.
Dette giver, i modsætning til andre SBOM-systemer, ingen garanti for sikkerheden af komponenterne i dit program. Hvad det gør, er at forsikre dine kunder om, at programmerne, koden, bibliotekerne, containerbillederne og så videre virkelig er dem, du har lovet dem. Det er ikke småting.
“Flere og flere softwarevirksomheder bliver bedt af deres kunder om at levere en softwareliste og give garantier for dens rigtighed,” sagde Dennis Zimmer, Codenotarys medstifter og CTO. “Vi tilbyder en nem måde for udviklere at bygge en SBOM og lade deres kunder og brugere vide, at deres softwares oprindelse er kryptografisk og meget let at verificere, hvilket effektivt muliggør levering af ægte Zero Trust-applikationer.”
Dette er mere end blot et løfte. Home Assistant, en open source hjemmeautomatiseringsvirksomhed med hundredtusindvis af brugere, bruger Codenotarys Community Attestation Service til at sikre, at kun dens godkendte kode kører i hjemmene ved hjælp af dets Internet-of-Things (IoT) software.
“Open source karakteren af Community Attestation Service, den nemme integration og tilbagekaldelse i realtid er en reel gamechanger,” sagde Pascal Vizeli, Home Assistants grundlægger og kerneudvikler. “Det er sådan, softwaretillid og integritet skal se ud og føles.”
Home Assistant er ikke den eneste, der har købt ind i Codenotarys tilgang. Jack Aboutboul, community manager for CentOS-erstatningen Linux-distro AlmaLinux, sagde: “AlmaLinux arbejder på integration med Community Attestation Service for at levere en sikker Software Bill of Materials til AlmaLinux OS-distributionen og for at garantere oprindelsen af vores builds.”< /p>
Lyder det interessant? Gå over til Community Attestation Service og begynd at skabe dine egne manipulationssikre SBOM'er.
Relaterede historier:
Linux- og open source-fællesskaber tager imod Bidens cybersikkerhedsudfordringLinux Foundation annoncerer ny open source-softwaresigneringstjenesteSolarWinds-forsvar: Sådan stopper du lignende angreb Open Source | Sky | Big Data Analytics | Innovation | Teknik og arbejde | Samarbejde