立即领取|华润集团、宁德核电、东风岚图等 20+ 标杆企业数字化人才培养实践案例 了解详情
写点什么

SBOMit 发布:简单实用,改善软件物料清单完整性

作者:Matt Saunders

  • 2024-01-26
    北京
  • 本文字数:1105 字

    阅读完需:约 4 分钟

大小:543.74K时长:03:05
SBOMit发布:简单实用,改善软件物料清单完整性

开源安全基金会(OpenSSF)最近发布了SBOMit,这是一个设计用来通过in-toto证明增强软件物料清单(SBOM)的工具。这一个成果来自 OpenSSF 安全工具工作组,它可以提升软件开发过程的透明度和安全性。

 

软件物料清单(SBOM)是软件包组件的清单。SBOM 有多种存储方法,还可以选择通过签名做额外的验证,但是确保整个软件开发过程的完整性仍然是一个挑战,因为无法能保证创建软件的所有过程都被恰当地执行。SBOMit 旨在提供一种标准化的、SBOM 格式无关的方法,通过附加验证信息来证明组件的有效性。

 

In-toto 是“完整性和透明度”的缩写。它是一个框架,旨在为确定软件供应链的完整性提供可验证和可复制的机制。In-toto 证明是该框架的关键组成部分。本质上,In-toto 证明是一种记录或陈述,为所采取的步骤提供证据,确保软件供应链的完整性。这些证明可以作为一种方法来验证软件开发和部署过程中的每个步骤是否已被安全执行且未被篡改。

 

SBOMit 会在软件构建中加入 in-toto 证明。生成的 SBOMit 文档会引用原始的 SBOM 文档,并包含关于软件开发中每个步骤的加密签名元数据,以及一个概述必要过程的策略。

 

包含 in-toto 证明有助于降低产生意外错误的风险,并解决诸如人在开发过程中忽略关键步骤之类的问题。此外,它使得恶意活动更难隐蔽,从而增强了安全性。SBOMit 不仅有助于提供更安全的环境,而且还使组织能够从入侵中安全地恢复,并及时识别和防止恶意活动。

 

SBOMit 项目由 OpenSSF 安全工具工作组托管,是行业协作的成果,旨在推进开源安全工具和最佳实践。将 in-toto 证明集成到 SBOM 中可以在软件组件的完整性和真实性方面为开发人员提供更多的保证。SBOMit规范可从 GitHub 上获得,欢迎贡献。

 

SBOMit 的路线图概述了其开发过程中的三个要点。

 

强化工具和社区:

  • 强调中立、支持和包容性。

  • 里程碑包括建立多元化社区、吸引利益相关者、推进下一阶段工作和实现可持续性。

  • 评估侧重于多样化领导力和重要工具提供商的参与。

 

扩大终端用户采用:

  • 旨在与监管机构合作,在各个部门广泛采用。

  • 里程碑包括合作伙伴关系、早期采用者协作、融合推广以及通过社区主导的增强实现可持续性。

  • 评估侧重于是通过跨部门的采用深度来衡量是否成功以及确保领先采用者的稳定。

 

使利益相关者保持一致:

  • 旨在通过明确的规范解决 SBOMit 不一致的问题。

  • 里程碑包括起草规范、通过协作进行细化、实现国际化标准以及过渡到一个自我延续模型。

  • 评估侧重于监控规范更新、提案流程的效率以及维护低一致性问题。

 

开源安全基金会的首要目标是将 SBOMit 构建成为一个广泛采用的、定义明确的标准,并拥有一个能够自我延续的社区,确保软件供应链的兼容性和安全性。

 

原文链接:

https://www.infoq.com/news/2024/01/sbomit-attestations/

2024-01-26 08:005812

评论

发布
暂无评论

2022最新IntellJ IDEA的mall开发部署文档

北极的大企鹅

开源 部署与维护 开发者, MAll

重新刷新你对Redis集群的理解

Java工程师

数据库 复制 数据共享 集群 redis'

Flash退出历史舞台后,Web端3D会迎来怎样的发展?

Orillusion

WebGL 3D渲染 3D模型 Flash webgpu

【面试-薪资查询】查薪资大揭秘,一般人不告诉他

测试猿温大大

黑科技 互联网行业薪资

国际自主智能机器人大赛强势来袭,NAACL同声传译任务等你来战

百度大脑

达观数据CTO 纪达麒:基于阿里云计算底座,打造智能办公机器人

阿里云弹性计算

机器人 神龙架构 智能办公

Hoo虎符研究院 ∣ 投资前沿——STARKNET 生态一览 (2022.3.18)

区块链前沿News

虎符研究院

微博评论高性能高可用计算架构设计

Geek_36cc7c

Rust的迭代器

Shine

rust 迭代器

2022年中国可穿戴医疗设备发展洞察

易观分析

可穿戴医疗设备

SpringBoot接入轻量级分布式日志框架(GrayLog)

Java工程师

程序员 分布式 Web spring-boot

被动防御→积极防御,系统稳定性保障思路启发

TakinTalks稳定性社区

网易数帆Curve加入PolarDB开源数据库社区

阿里云数据库开源

数据库 阿里云 开源数据库 polarDB

如何用建木CI实现前端代码自动格式化

Jianmu

前端 代码管理 格式化 prettier 建木CI

Apache DolphinScheduler&ShenYu(Incubating)联合 Meetup,暖春 3 月与你相约!

白鲸开源

大数据 开源 工作流调度 Apache DolphinScheduler

失败案例之安全抓包测试

网络安全学海

网络安全 信息安全 渗透测试 安全漏洞 网络抓包

Linux运维技术之Linux云计算架构

学神来啦

Linux 架构 运维 linux云计算

Docker 配置国内加速镜像

信号量

Docker Linxu

网易会议开源之桌面端篇

网易云信

开源

Redis Pipeline原来是这么用的

Java工程师

数据库 程序员 代码 pipeline redis'

毕业总结

Geek_93ffb0

「架构实战营」

低版本skywalking与LinkAgent不兼容怎么办?记一次详细的解决过程

TakinTalks稳定性社区

Apache DolphinScheduler&ShenYu(Incubating)联合 Meetup,暖春 3 月与你相约!

大数据 开源 工作流调度 Apache DolphinScheduler

10年后,掌握 Rust 语言,是不是入行汽车软件的必要条件呢?

非凸科技

好评不断的文化纪录片《中国》,背后的“剪刀手”竟是它?

百度大脑

JVM自定义类加载器在代码扩展性的实践

Java工程师

JVM 代码 类加载器 实践 #java

程序员的工作就只有写代码么?

程序员鱼皮

经验

第三空间娱乐体验重构:AITO 问界 M5雕刻的七宝楼台

脑极体

北京大学董豪老师解密人工智能开发工具的过去与未来

OpenI启智社区

人工智能 开发工具 启智社区 北京大学

【面试-项目篇】外包点工跳到甲方,薪资涨了30%

测试猿温大大

面试 涨薪 测试工程师 项目经验

【面试-如何谈薪资】万字总结 HR高频55问,让你涨薪30%

测试猿温大大

面试 薪资 HR

SBOMit发布:简单实用,改善软件物料清单完整性_开源_InfoQ精选文章