sbomasm: SBOM-assemblage voor softwareproducten
Interlynk
Bouwen van de Software Bill of Materials, of "SBOM" — naast de software zelf — is een goede praktijk voor het monitoren van zero-day kwetsbaarheden of het voldoen aan regelgeving en compliance vereisten.
SBOM is ook klaar voor de eisen van transparantie van software die opkomen in goed gereguleerde gebieden zoals Financiën, Gezondheidszorg en Federale Agentschappen.
Commerciële en open-source tools bestaan voor het bouwen van SBOM voor softwareprojecten in de meeste software-ecosystemen en vanuit applicatiebinaries en firmware.
Echter, een typisch commercieel beschikbaar softwareproduct of verbonden apparaat is opgebouwd als een verzameling van software en hardware projecten samengesteld uit meerdere hardwarecomponenten, bibliotheken, diensten, of zelfs de directe distributie van uitvoerbare bestanden.
Voorbeelden:
Een mobiele app bevat bibliotheken van derden voor marketing-, authenticatie- of advertentiedoeleinden — allemaal van derde leveranciers.
Een medisch apparaat kan programmeerbare componenten van verschillende leveranciers bevatten, elk met zijn eigen versies en upgradecycli.
Een desktopapplicatie kan werken met enkele uitvoerbare bestanden van derden die het aanroept voor specifieke functionaliteiten.
In deze gevallen kan SBOM voor projecten en bibliotheken worden gebouwd met het project, maar het combineren ervan in de uiteindelijke product SBOM vereist een dieper begrip van SBOM-formaten en beperkingen.
Een uiteindelijke product SBOM bouwen door de project SBOM te combineren, lost verschillende problemen op, waaronder:
Levering van één product SBOM in plaats van veel project SBOM
Volgen van productversies tegen specifieke projectversies
Volgen van het eindproduct met een enkele SKU in SBOM-beheersystemen
Het in kaart brengen van nieuw onthulde kwetsbaarheden naar specifieke projecten
sbomasm — Assembler voor SBOM
Interlynk’s gratis en open-source tool - sombasm is de oplossing voor dit SBOM-assembleringsprobleem.
sbomasm is een commandoregel-utiliteit die is gebouwd om te draaien op moderne versies van Windows, Mac en Linux. Het is de eenvoudigste manier om SBOM van meerdere projecten te combineren in een product-SBOM met de commerciële naam van het product, versie, licentie en andere metadata.
sbomasm heeft configureerbare invoer die in de meeste CI/CD-pijplijnen kan worden gebruikt om dit proces te automatiseren met elke productrelease.
sbomasm houdt rekening met meerdere complexiteiten, zoals het behouden van componentrelaties en checksums voor het bijhouden van componentkwetsbaarheden, het beheren van duplicatie van componenten of subcomponenten en het mogelijk maken van specificaties in meerdere indelingen.
Kenmerken
sbomasm ondersteunt:
CycloneDX en SPDX invoer- en uitvoerformaten
opdrachtregelinterface en configuratiebestand als invoer
beschikbaar op de meeste moderne versies van Windows, Linux en Mac
platte samenvoeging (geen hiërarchie) of hiërarchische samenvoeging
eindproduct gebruik indicator (SBOM primaire pakket verklaring)
opties voor het automatiseren van de product SOBM-generatie
Voorbeelden
In zijn eenvoudigste vorm kan sbomasm worden gebruikt om SBOM van twee verschillende projecten te combineren tot een eindproduct:
Projecten
Docker Engine — v24.0.2: SBOM-bestand: engine.spdx.tv
Docker Compose — v2.19.1: SBOM-bestand: compose.spdx.tv
Product
Docker Desktop — v4.21.2: Gewenst SBOM-bestand desktop.spdx.tv
Commando
Dat is het!
Wanneer dit is voltooid, zal het SBOM-bestand desktop.spdx.tv een product beschrijven met de naam Docker Desktop van versie v4.21.2 en type applicatie dat uit drie onderdelen bestaat — docker engine v24.0.2, docker compose v2.19.1
Alle componenten behouden hun oorspronkelijke licenties en checksums, waardoor toekomstige verificaties aan de eisen voldoen.
Elke zero-day kwetsbaarheid tegen een component van Docker Engine v24.0.1 zal ook verschijnen in Docker Desktop v4.21.2 evenals onder de componentnaam — Docker Engine v24.0.1 (relatiebewaring)
Configuratie
sbomasm ondersteunt de meest voorkomende configuraties van het configuratiebestand ook. De sjabloon voor een dergelijk bestand kan worden gegenereerd met
Het configuratiebestand kan worden bewerkt om verschillende opties aan te passen en kan worden gebruikt met een eenvoudig commando voor een aantal project-SBOM:
Aanvullende functies
sbomasm functionaliteiten zijn opgenomen in de SBOM-platform van Interlynk. Het kan worden geüpgraded naar een commerciële versie voor andere functies, zoals:
Automatisch importeren van SBOM vanuit projecten
Elk project SBOM extraheren uit de product SBOM
Visuele interface en ingebouwde sjablonen voor automatische SBOM-assemblage
Ondersteuning voor commerciële licenties
Inhoudsvervaging van de naam van leveranciers of componenten uit de product SBOM
Toekomst
sbomasm is een van de groeiende lijst van open source tools onder Interlynk’s open source toolset initiatief.
Onze missie is om het voor alle CI/CD systemen gemakkelijk te maken om SBOM te produceren en het nuttig te maken voor consumenten.
We zijn voortdurend bezig met het evolutioneren van alle tools. Voel je vrij om contact met ons op te nemen via hello@interlynk.io als je sbomasm of andere tools wilt gebruiken,
sbomqsvoor SBOM Kwaliteitsbeoordeling,sbomgrvoor SBOM-zoekopdrachten ofsbomexvoor een verkenning van SBOM-indelingen en specificaties,
We staan te popelen om te helpen en de functionaliteiten van deze tools uit te breiden.