在当今数字化时代,软件供应链的安全性日益成为企业关注的焦点。随着软件开发和部署过程的复杂化,供应链中的每一个环节都可能成为潜在的攻击目标。
近年来,多起软件供应链攻击事件引发了广泛关注,这些事件不仅造成了巨大的经济损失,还严重威胁了用户数据和系统的安全性。供应链风险的增加,对软件的透明度和可追溯性提出了更高的要求,亟需一套有效的解决方案来保障供应链的安全。
为了应对这一挑战,统信UOS推出了全新的软件包标识化工具,专注于提升软件包的安全性和供应链的透明度,现已上架统信应用商店。
针对软件包现存的分发安全、二进制追溯问题,通过提供成分扫描、依赖分析、许可证检测、签名验证等功能来增强全面和深度的软件包标识化管理,以确保软件供应链在可信度、安全性和合规性方面更加完善。
保障供应链安全
SBOM,即软件物料清单,可以对软件供应链安全保障提供极大助力。
SBOM信息是指软件包的详细成分清单,包括其依赖关系、版本、许可证信息等。通过准确的SBOM信息,用户可以清楚地了解软件包的组成及其潜在的安全风险。
而统信软件开发的deepin-sbom-tools支持对于软件包SBOM信息生成和验证、软件包唯一标识生成和验证、以及签名验证。
1. SBOM信息生成和验证
本工具提供了自动化的SBOM信息生成功能,并支持对已有SBOM信息的验证,确保信息的准确性和完整性。
2. 软件包唯一标识生成和验证
每个软件包都需要一个唯一标识来确保其在供应链中的可追溯性。工具支持生成软件包唯一标识,简洁且易于管理。同时,工具还提供了验证功能,确保每个软件包的唯一标识的准确性和一致性。
3. SBOM信息签名和验证
为了进一步提升软件包的安全性,工具还提供了SBOM信息的签名和验证功能。通过对SBOM信息进行数字签名,可以确保信息在传输和存储过程中不被篡改。用户可以通过验证签名来确认SBOM信息的来源和完整性,从而有效防止供应链攻击。
保障应用运行时安全
为了确保应用程序在运行时的安全性,系统内置了应用签名验证和二进制运行时签名验证程序,确保应用能够安全可靠地分发到用户终端。通过这些机制,我们可以有效地防止未经授权的软件安装和运行,保障用户系统的安全性和稳定性。
1. 应用签名验证
应用必须使用授权的数字证书签名后方可安装,未签名或签名验证失败的应用将被拒绝安装或运行。同时应用商店内的应用会在签名上架前进行审查、确认来源以及安全扫描,保障应用安全、可靠和来源可溯。针对破坏用户操作系统信息安全的恶意应用,将无法通过签名验证系统校验,从而被阻止安装或运行。
2. 二进制签名验证
在统信UOS中,系统内置可信证书链。应用签名验证机制规定了应用必须使用授权的数字证书签名后方可安装,不可信应用将拒绝安装或运行。
当安装一个软件时,系统需要对软件包进行安全性验证,经过签名的应用软件允许在系统上安装,否则不允许在系统上安装。在应用程序的管控策略下,应用程序安装或运行前首先需要经过完整性验证。验证通过后根据当前系统应用管控策略决定此应用是否允许运行。最大程度保证提供给用户的应用是安全可靠的。
扫码抢先体验
统信UOS专注于打造安全可靠的软件供应链,以确保软件分发的安全可信性,帮助企业应对日益严峻的供应链安全挑战。
目前,该工具已全面开源
扫描下方二维码
下载并体验这款全新的软件包标识化工具
新闻来源:终端操作系统产线
