SBOM Registry & Supply Chain
Software Bill of Materials (SBOM) e integridade da cadeia de suprimentos do ABS Core.
SBOM Registry & Supply Chain Security
Para organizações operando sob normativas estritas de infraestrutura crítica (ex: Executive Order 14028, NIS2, ISO/IEC 27001), a transparência na cadeia de suprimentos (Supply Chain) é inegociável.
O ABS Core provê Software Bill of Materials (SBOMs) criptograficamente assinados para cada release oficial.
Geração Automática (CycloneDX)
Nosso pipeline de Continuous Integration (CI) possui a diretriz "Prioridade Zero" de geração de artefatos. A cada build, um SBOM completo é gerado utilizando o padrão CycloneDX, acoplado a verificadores de vulnerabilidade (ex: Grype/Trivy).
- Status:
✅ Implementado(via.github/workflows/sbom-security.yml) - Bloqueio Automático: O merge no repositório de release é rejeitado caso qualquer dependência introduza uma vulnerabilidade (CVE) de severidade Critical.
Acessando o SBOM (Enterprise & Defense)
O SBOM não é publicado no site público para evitar exposição desnecessária da superfície de ataque aos atores maliciosos.
Comitês de Vendor Risk Management (VRM) podem solicitar o SBOM atualizado juntamente ao Hash Criptográfico da versão através do programa ABS Benchmark Suite:
- Assinatura do NDA Institucional.
- Transferência do
abscore-sbom-v4.3.2.json(Formato CycloneDX). - Auditoria interna (SIEM/Vulnerability Scanner do Cliente) para aprovação do Procurement.
[!TIP] Em ambientes restritos, recomendamos a verificação do hash do pacote NPM contra o hash presente no SBOM antes de iniciar operações Air-Gapped.