Solarwinds programvareforsyningskjedeangrep er det alle vet om. Men forsyningskjedeangrep begynner å bli vanlig, og det er dårlige nyheter. Det er anstrengelser på gang, for eksempel Linux Foundations Software Package Data Exchange® (SPDX)-prosjekt, som sikrer åpenhet og forbedrer samsvar for programvareliste (SBOM). Men vi trenger SBOM-er nå.
Som president Joseph Bidens Executive Order on Improving the Nation's Cybersecurity sier, må vi gi “en kjøper en SBOM for hver søknad.” Codenotary Community Attestation Service ønsker å hjelpe deg med det.
Det er en gratis, åpen kildekode-notariserings- og verifiseringstjeneste. Dets morselskap Codenotary lover at det vil gjøre det mulig for bedrifter å enkelt lage en SBOM, som bekrefter opprinnelsen og sikkerheten til koden deres.
Community Attestation Service gir ende-til-ende-beskyttelse for programvareutvikling og arbeidsbelastninger. Codenotary lover også at den er skalerbar til millioner av transaksjoner per sekund, noe som gjør den ideell for kontinuerlig integrasjon/kontinuerlig levering (CI/CD)-tjenester. Det gir utviklere en måte å legge ved en manipulasjonssikker SBOM for utviklingsartefakter som inkluderer kildekode, builds, repositories og Docker-beholderbilder.
Disse SBOM-ene bygges uten å laste opp data til tjenesten. I stedet notariserer den disse artefaktene ved å bruke kryptografisk verifisering for å identifisere utviklingsartefakter unikt. Hver artefakt beholder en kryptografisk sterk identitet lagret i Codenotarys uforanderlige database, immudb. Dette er en rask og kryptografisk verifiserbar hovedbokdatabase.
Dette, i motsetning til andre SBOM-systemer, gir ingen garanti for sikkerheten til komponentene i programmet ditt. Det den gjør er å forsikre kundene dine om at programmene, koden, bibliotekene, beholderbildene og så videre virkelig er de du har lovet dem. Dette er ingen liten ting.
“Flere og flere programvareselskaper blir bedt av sine kunder om å levere en programvareliste og gi garantier om sannheten,” sa Dennis Zimmer, Codenotarys medgründer og CTO. “Vi tilbyr en enkel måte for utviklere å bygge en SBOM og la sine kunder og brukere få vite at opprinnelsen til programvaren deres er kryptografisk og veldig enkelt verifiserbar, noe som effektivt muliggjør levering av ekte Zero Trust-applikasjoner.”
Dette er mer enn bare et løfte. Home Assistant, et åpen kildekode-husautomatiseringsselskap med hundretusenvis av brukere, bruker Codenotarys Community Attestation Service for å sikre at bare den godkjente koden kjører hjemme ved hjelp av Internet-of-Things (IoT) programvare.
“Åpen kildekode-naturen til Community Attestation Service, den enkle integrasjonen og sanntidsopphevelsen er en ekte gamechanger,” sa Pascal Vizeli, Home Assistants grunnlegger og kjerneutvikler. «Det er slik programvaretillit og integritet skal se ut og føles.»
Home Assistant er ikke den eneste som har kjøpt inn Codenotarys tilnærming. Jack Aboutboul, fellesskapssjef for CentOS-erstatningen Linux-distro AlmaLinux, sa: “AlmaLinux jobber med integrasjon med Community Attestation Service for å gi en sikker programvareliste for AlmaLinux OS-distribusjonen og for å garantere opprinnelsen til byggene våre.”< /p>
Høres det interessant ut? Gå over til Community Attestation Service og begynn å lage dine egne manipulasjonssikre SBOM-er.
Relaterte historier:
Linux og åpen kildekode-fellesskap møter Bidens cybersikkerhetsutfordringLinux Foundation kunngjør ny åpen kildekode-programvaresigneringstjenesteSolarWinds-forsvar: Hvordan stoppe lignende angrep Open Source | Sky | Big Data Analytics | Innovasjon | Teknikk og arbeid | Samarbeid