Все знают об атаке на цепочку поставок программного обеспечения Solarwinds. Но атаки на цепочки поставок становятся обычным явлением, и это плохие новости. Прилагаются усилия, такие как Linux Foundation Программный пакет Data Exchange® (SPDX), который обеспечивает прозрачность и улучшает соответствие спецификации программного обеспечения (SBOM). Но сейчас нам нужны SBOM.
Как сказал президент Джозеф Байден Указ о повышении кибербезопасности нации говорит, что мы должны предоставить «покупателю SBOM для каждого приложения». Служба аттестации коденотарного сообщества хочет помочь вам в этом.
Это бесплатная служба нотариального заверения и проверки с открытым исходным кодом. Материнская компания Коденотарный обещает, что это позволит предприятиям легко создавать SBOM, подтверждая происхождение и безопасность их кода.
Служба аттестации сообщества обеспечивает сквозную защиту для разработки программного обеспечения и рабочих нагрузок. Codenotary также обещает, что он масштабируется до миллионов транзакций в секунду, что делает его идеальным для непрерывная интеграция / непрерывная доставка (CI / CD) Сервисы. Это дает разработчикам возможность прикрепить защищенный от взлома SBOM для артефактов разработки, которые включают исходный код, сборки, репозитории и образы контейнеров Docker.
Эти SBOM создаются без загрузки каких-либо данных в службу. Вместо этого он нотариально заверяет эти артефакты, используя криптографическую проверку, чтобы однозначно идентифицировать артефакты разработки. Каждый артефакт сохраняет криптостойкую идентичность, хранящуюся в неизменяемой базе данных Codenotary, Imudb. Это быстрая база данных реестра, которую можно проверить криптографически.
Это, в отличие от других систем SBOM, не дает никаких гарантий безопасности компонентов вашей программы. Что он делает, так это убеждает ваших клиентов в том, что программы, код, библиотеки, образы контейнеров и т. Д. Действительно соответствуют тем, которые вы им обещали. Это не мелочь.
«Все больше и больше компаний-разработчиков программного обеспечения просят своих клиентов предоставить перечень программных материалов и дать гарантии его достоверности», — сказал Деннис Циммер, соучредитель и технический директор Codenotary. «Мы предоставляем разработчикам простой способ создания SBOM и позволяем их клиентам и пользователям знать, что происхождение их программного обеспечения криптографически и очень легко проверяемо, что эффективно обеспечивает доставку приложений с нулевым доверием».
Это больше, чем просто обещание. Домашний помощник, компания по автоматизации дома с открытым исходным кодом, насчитывающая сотни тысяч пользователей, использует службу аттестации сообщества Codenotary, чтобы гарантировать, что только ее утвержденный код работает дома с использованием ее программного обеспечения для Интернета вещей (IoT).
«Открытый исходный код Community Attestation Service, простая интеграция и отзыв в реальном времени меняют правила игры», — сказал Паскаль Визели, основатель и основной разработчик Home Assistant. «Вот как должны выглядеть доверие и целостность программного обеспечения».
Домашний помощник не единственный, кто купился на подход Codenotary. Джек Оббоул, менеджер сообщества CentOS замена дистрибутива Linux AlmaLinux, — сказал он: «AlmaLinux работает над интеграцией со службой аттестации сообщества, чтобы предоставить безопасную спецификацию программного обеспечения для дистрибутива ОС AlmaLinux и гарантировать происхождение наших сборок».
Звучит интересно? Перейти к Служба аттестации сообщества и начните создавать свои собственные защищенные от взлома SBOM.