写点什么

SBOMit 发布:简单实用,改善软件物料清单完整性

作者:Matt Saunders

  • 2024-01-26
    北京
  • 本文字数:1105 字

    阅读完需:约 4 分钟

大小:543.74K时长:03:05
SBOMit发布:简单实用,改善软件物料清单完整性

开源安全基金会(OpenSSF)最近发布了SBOMit,这是一个设计用来通过in-toto证明增强软件物料清单(SBOM)的工具。这一个成果来自 OpenSSF 安全工具工作组,它可以提升软件开发过程的透明度和安全性。

 

软件物料清单(SBOM)是软件包组件的清单。SBOM 有多种存储方法,还可以选择通过签名做额外的验证,但是确保整个软件开发过程的完整性仍然是一个挑战,因为无法能保证创建软件的所有过程都被恰当地执行。SBOMit 旨在提供一种标准化的、SBOM 格式无关的方法,通过附加验证信息来证明组件的有效性。

 

In-toto 是“完整性和透明度”的缩写。它是一个框架,旨在为确定软件供应链的完整性提供可验证和可复制的机制。In-toto 证明是该框架的关键组成部分。本质上,In-toto 证明是一种记录或陈述,为所采取的步骤提供证据,确保软件供应链的完整性。这些证明可以作为一种方法来验证软件开发和部署过程中的每个步骤是否已被安全执行且未被篡改。

 

SBOMit 会在软件构建中加入 in-toto 证明。生成的 SBOMit 文档会引用原始的 SBOM 文档,并包含关于软件开发中每个步骤的加密签名元数据,以及一个概述必要过程的策略。

 

包含 in-toto 证明有助于降低产生意外错误的风险,并解决诸如人在开发过程中忽略关键步骤之类的问题。此外,它使得恶意活动更难隐蔽,从而增强了安全性。SBOMit 不仅有助于提供更安全的环境,而且还使组织能够从入侵中安全地恢复,并及时识别和防止恶意活动。

 

SBOMit 项目由 OpenSSF 安全工具工作组托管,是行业协作的成果,旨在推进开源安全工具和最佳实践。将 in-toto 证明集成到 SBOM 中可以在软件组件的完整性和真实性方面为开发人员提供更多的保证。SBOMit规范可从 GitHub 上获得,欢迎贡献。

 

SBOMit 的路线图概述了其开发过程中的三个要点。

 

强化工具和社区:

  • 强调中立、支持和包容性。

  • 里程碑包括建立多元化社区、吸引利益相关者、推进下一阶段工作和实现可持续性。

  • 评估侧重于多样化领导力和重要工具提供商的参与。

 

扩大终端用户采用:

  • 旨在与监管机构合作,在各个部门广泛采用。

  • 里程碑包括合作伙伴关系、早期采用者协作、融合推广以及通过社区主导的增强实现可持续性。

  • 评估侧重于是通过跨部门的采用深度来衡量是否成功以及确保领先采用者的稳定。

 

使利益相关者保持一致:

  • 旨在通过明确的规范解决 SBOMit 不一致的问题。

  • 里程碑包括起草规范、通过协作进行细化、实现国际化标准以及过渡到一个自我延续模型。

  • 评估侧重于监控规范更新、提案流程的效率以及维护低一致性问题。

 

开源安全基金会的首要目标是将 SBOMit 构建成为一个广泛采用的、定义明确的标准,并拥有一个能够自我延续的社区,确保软件供应链的兼容性和安全性。

 

原文链接:

https://www.infoq.com/news/2024/01/sbomit-attestations/

2024-01-26 08:005844

评论

发布
暂无评论

原生开发能不能动态化?移动端动态能力建设的流派有哪些?

没有用户名丶

景区共享电动车厂家如何找?投放前景如何

共享电单车厂家

共享电动车厂家 景区共享电单车 共享电单车投放 共享电单车生产

Qz学算法-数据结构篇(引入)

浅辄

数据结构 三周年连更

今晚直播 | 思码逸陆春蕊:面对研发效能度量落地难点,如何让数据说话?

思码逸研发效能

研发效能

最新Java岗面试清单:分布式+Dubbo+线程+Redis+数据库+JVM+并发

Java你猿哥

Java spring JVM 多线程 myssql

电子元器件“切开后”,原来是这样子的!

元器件秋姐

科普 三极管 元器件 二极管 电感

企业级无代码平台,「重塑」软件生产关系

ToB行业头条

聊聊 CSS 隐藏元素的 10 种实用方法

茶无味的一天

CSS 隐藏元素

OpenHarmony开发者大会举办,OpenHarmony项目群授牌30家捐赠单位及个人

最新动态

详解数据结构中栈的定义和操作

华为云开发者联盟

数据结构 开发 华为云 华为云开发者联盟 企业号 4 月 PK 榜

带你掌握数仓的作业级监控TopSQL

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 4 月 PK 榜

深度学习基础入门篇[六]:模型调优,学习率设置(Warm Up、loss自适应衰减等),batch size调优技巧,基于方差放缩初始化方法。

汀丶人工智能

人工智能 深度学习 学习率 warmup batchsize

常用测试策略与测试手段

测吧(北京)科技有限公司

测试发开

《一时重构一时爽,一直重构一直爽》

后台技术汇

代码重构 软件重构 三周年连更

如何在页面中监听“不存在”的 DOM 节点

茶无味的一天

JavaScript DOM web api 水印 MutationObserver

熬夜肝到秃头!阿里顶配级Spring Security笔记

程序知音

Java spring 后端 spring security java架构

如何从1到99做好产品 | 得物技术

得物技术

从 Dev 和 Ops 视角出发,聊聊 DevSecOps 的 What / Why / How

极狐GitLab

DevOps 安全 DevSecOps 安全左移 安全合规

迪斯克分投趣模式挖矿分红dapp系统开发功能详情

开发v-hkkf5566

微服务 Spring Boot 整合Redis 实战开发解决高并发数据缓存

Bug终结者

redis缓存 三周年连更

600+ 道 Java面试题及答案整理(建议收藏)

Java你猿哥

Java spring 分布式 mybatis 多线程

“亮相”欧洲!TDengine 在 KubeCon 与开发者探讨云原生与数据库的技术结合

TDengine

tdengine 时序数据库 KubeCON

Alibaba微服务线上架构攻略,从实战到源码精讲

程序知音

Java 微服务 SpringCloud java架构 后端技术

【重磅】针对小微企业信息安全,行云管家堡垒机隆重推出免费版

行云管家

云计算 企业上云 安全运维 运维安全

MySQL进阶之道,MySql性能实战源码+笔记+项目实战

程序知音

Java MySQL 数据库 后端

矢量图片转换工具:Vector Magic 免激活版

真大的脸盆

Mac Mac 软件 图片格式转换 图片格式

使用depay信用卡开通chatGPT付费API

石云升

AI ChatGPT 三周年连更

中国边缘云公有云服务市场 Top2,百度智能云让智算无处不在

百度开发者中心

云计算 #百度智能云# 边缘云

Gartner发布中国容器管理平台供应商识别指南,灵雀云实力入选

York

容器 云原生 系统架构 研究报告 平台选型

【Linux】之如何卸载干净zabbix服务?(超详细)

A-刘晨阳

Linux zabbix 三周年连更

小技巧:如何让 Windows 应用程序在 Parallels Desktop 中启动得更快

互联网搬砖工作者

SBOMit发布:简单实用,改善软件物料清单完整性_开源_InfoQ精选文章