OpenSSF 将验证信息添加到 SBOM 中以验证软件的构建方式

OpenSSF 推出 SBOMit 工具,增强 SBOM 的安全性

开源安全基金会(OpenSSF)最近宣布推出 SBOMit 工具,旨在通过 in-toto 证明 增强 软件物料清单(SBOM) 的透明度和安全性。该工具由 OpenSSF 安全工具工作组开发,旨在为软件开发过程提供更高的透明度和安全性保障。

SBOM 的作用与挑战

  • SBOM 是软件包中组件的清单,用于列出软件的所有组成部分。
  • 尽管 SBOM 可以通过签名进行验证,但确保整个软件开发过程的完整性仍然具有挑战性,因为无法保证生成软件的所有步骤都正确执行。

SBOMit 的目标与功能

  • SBOMit 提供了一种标准化的、独立于 SBOM 格式的方法,用于通过附加的验证信息证明组件的完整性。
  • 它通过将 in-toto 证明 集成到软件构建中,生成包含加密签名元数据的 SBOMit 文档。
  • SBOMit 文档引用原始的 SBOM 文档,并包含软件开发每个步骤的元数据以及必要的程序策略。

in-toto 证明的作用

  • in-toto 是一个旨在提供可验证和可重现机制的框架,用于确保软件供应链的完整性。
  • in-toto 证明是一种记录或声明,提供确保软件供应链完整性的步骤证据。
  • 这些证明用于验证软件开发和部署过程中的每个步骤是否安全执行且未被篡改。

SBOMit 的优势

  • 减少人为疏忽导致的意外错误,增强安全性,使恶意活动更难被忽视。
  • 帮助组织在受到攻击后安全恢复,并及时识别和防止恶意活动。

项目背景与协作

  • SBOMit 项目由 OpenSSF 安全工具工作组托管,是行业内推动开源安全工具和最佳实践的协作成果。
  • 通过将 in-toto 证明集成到 SBOM 中,开发者可以更好地确保软件组件的完整性和真实性。

资源与贡献

  • SBOMit 规范 已在 GitHub 上发布,欢迎贡献和参与:SBOMit 规范

SBOMit 的推出标志着开源安全领域的重要进展,为软件开发提供了更强大的安全保障和透明度。

阅读 24
0 条评论