Die erste volle Veröffentlichung von BOMnipotent ist da

Werdet CSAF trusted provider indem Ihr BOMnipotent Eure Dokumente signieren lasst.

Die Pyramiden von Gizeh in BOMnipotent Farben.

Nach mehr als 800 Stunden Arbeit ist BOMnipotent 1.0, die erste volle Veröffentlichung, endlich da. Was als einfach aufzusetzender Server zum Hosten von CSAF Advisory Dokumenten begonnen hat, ist so viel mehr geworden:

  • Er behandelt Software Stücklisten (“Bill of Material”, BOM) Dokumente mit demselben Respekt wie Advisories.
  • Er listet bekannte Sicherheitslücken , und hilft Euch, neue nachzuverfolgen.
  • Er bietet Nutzerverwaltung mit feingranularer, rollenbasierter Zugangskontrolle und passwortlosem Login.
  • Er verifiziert den Zugriff der Nutzer auf ihren Email Account mit HMAC.
  • Er integriert sich mithilfe von fertigen GitHub Actions und Bash Skripten reibungslos in Eure Umgebung.

Diese neue Veröffentlichung unternimmt die letzten Schritte vom CSAF provider zum CSAF trusted provider. Alles, was Ihr dafür tun müsst, ist, dem Server Zugriff auf einen OpenPGP Schlüssel zu geben. Er bietet daraufhin den öffentlichen Teil Eures Schlüssels zum Download an, und hasht und signiert Eure BOM und CSAF Dokumente kryptografisch. Die Dokumentation kann Euch helfen, mit OpenPGP Schlüsseln warm zu werden.

All diese Funktionalität wird für nicht-kommerzielle Entitäten gratis bleiben. Sie bleibt für Unternehmen etc. für ein einstufiges Abonnement verfügbar, welches, ganz ehrlich, nicht sonderlich viel mehr als nichts kostet.

Dies ist noch lange nicht das Ende der Reise für BOMnipotent. Zum Zeitpunkt des Schreibens hat das Backlog genau 100 offene Einträge. Die meisten davon sind Ideen für neue Features, manche sind dafür da, die hohe Codequalität beizubehalten. Sicherheitslücken werden immer mit höchster Priorität geschlossen werden, dicht gefolgt von Bugs. Denn das ist, worum es am Ende bei Lieferkettensicherheit geht: Auf allen Ebenen zuverlässige Software.