开源安全基金会(OpenSSF)最近发布了SBOMit,这是一个设计用来通过in-toto证明增强软件物料清单(SBOM)的工具。这一个成果来自 OpenSSF 安全工具工作组,它可以提升软件开发过程的透明度和安全性。
软件物料清单(SBOM)是软件包组件的清单。SBOM 有多种存储方法,还可以选择通过签名做额外的验证,但是确保整个软件开发过程的完整性仍然是一个挑战,因为无法能保证创建软件的所有过程都被恰当地执行。SBOMit 旨在提供一种标准化的、SBOM 格式无关的方法,通过附加验证信息来证明组件的有效性。
In-toto 是“完整性和透明度”的缩写。它是一个框架,旨在为确定软件供应链的完整性提供可验证和可复制的机制。In-toto 证明是该框架的关键组成部分。本质上,In-toto 证明是一种记录或陈述,为所采取的步骤提供证据,确保软件供应链的完整性。这些证明可以作为一种方法来验证软件开发和部署过程中的每个步骤是否已被安全执行且未被篡改。
SBOMit 会在软件构建中加入 in-toto 证明。生成的 SBOMit 文档会引用原始的 SBOM 文档,并包含关于软件开发中每个步骤的加密签名元数据,以及一个概述必要过程的策略。
包含 in-toto 证明有助于降低产生意外错误的风险,并解决诸如人在开发过程中忽略关键步骤之类的问题。此外,它使得恶意活动更难隐蔽,从而增强了安全性。SBOMit 不仅有助于提供更安全的环境,而且还使组织能够从入侵中安全地恢复,并及时识别和防止恶意活动。
SBOMit 项目由 OpenSSF 安全工具工作组托管,是行业协作的成果,旨在推进开源安全工具和最佳实践。将 in-toto 证明集成到 SBOM 中可以在软件组件的完整性和真实性方面为开发人员提供更多的保证。SBOMit规范可从 GitHub 上获得,欢迎贡献。
SBOMit 的路线图概述了其开发过程中的三个要点。
强化工具和社区:
强调中立、支持和包容性。
里程碑包括建立多元化社区、吸引利益相关者、推进下一阶段工作和实现可持续性。
评估侧重于多样化领导力和重要工具提供商的参与。
扩大终端用户采用:
旨在与监管机构合作,在各个部门广泛采用。
里程碑包括合作伙伴关系、早期采用者协作、融合推广以及通过社区主导的增强实现可持续性。
评估侧重于是通过跨部门的采用深度来衡量是否成功以及确保领先采用者的稳定。
使利益相关者保持一致:
旨在通过明确的规范解决 SBOMit 不一致的问题。
里程碑包括起草规范、通过协作进行细化、实现国际化标准以及过渡到一个自我延续模型。
评估侧重于监控规范更新、提案流程的效率以及维护低一致性问题。
开源安全基金会的首要目标是将 SBOMit 构建成为一个广泛采用的、定义明确的标准,并拥有一个能够自我延续的社区,确保软件供应链的兼容性和安全性。
原文链接:
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论