Software Bill of Materials
Jetons un coup d'œil aux raisons pour lesquelles les développeurs devraient créer un Software Bill of Materials (SBOM) pour la transparence et la sécurité de leurs applications.
Software Bill of Materials
Ouvrez votre IDE préféré, accédez à votre projet le plus récent et ouvrez son fichier de verrouillage (package-lock.json, go.mod, Pipfile.lock, et ainsi de suite). Vous trouverez probablement des centaines, voire des milliers de packages et de bibliothèques open source, illustrant précisément l'étendue de la propagation des parties invisibles et inconnues de votre application.
Un Software Bill of Materials (SBOM) est un inventaire similaire de tous les composants logiciels, bibliothèques et dépendances sur lesquels votre application repose, mais il va plus loin que les noms de packages et les versions épinglées. En agrégeant des données sur les licences open source et plus encore, un SBOM vous offre une visibilité complète, que vous pouvez utiliser pour prévenir les attaques de la chaîne d’approvisionnement ou identifier de nouvelles vulnérabilités dans une dépendance à deux, trois niveaux ou plus.
est le coût moyen des violations de données impliquant des dépendances tierces comme vecteur d'attaque principal.
IBM
contiennent des outils et bibliothèques open source avec au moins une vulnérabilité active.
Synopsys
découvertes parmi les bibliothèques open source populaires, avec 1 téléchargement sur 8 contenant des risques connus et évitables.
Sonatype
Un exemple de Software Bill of Materials et de son fonctionnement
Une SBOM se présente sous de nombreux formats de sortie et structures de données différents, mais est finalement une base de données d'artefacts, incluant leurs noms de packages, versions, sources, licences, URL et plus encore. Les SBOMs identifient également la relation entre deux artefacts pour une transparence sur le réseau de dépendances sur lequel votre application repose.
Bien que les SBOMs ne soient pas particulièrement utiles à parcourir, elles sont extrêmement utiles dans la gestion des vulnérabilités plus large de votre application. Vous pouvez alimenter les SBOMs de vos applications dans d'autres outils offrant l'analyse des dépendances, la détection de malwares ou des données de fin de vie (EOL) pour vous assurer de faire apparaître chaque vulnérabilité possible dans votre application, pas seulement celles en surface.
Comment un Software Bill of Materials aide-t-il les développeurs ?
Lors du dépannage rapide des pannes, une SBOM à jour vous aide à identifier précisément quel package est responsable, même s'il se trouve à deux ou trois niveaux de profondeur.
En ayant une compréhension complète des composants nécessaires au bon fonctionnement de votre application, vous pouvez effectuer une atténuation des risques plus proactive en identifiant les points faibles possibles et en priorisant les correctifs ou les migrations vers des dépendances plus sécurisées.
Avec une SBOM, vos équipes de développement et opérationnelles disposent d'une source unique de vérité pour collaborer sur les problèmes ou prioriser des solutions proactives aux problèmes actuels.
Les SBOM aident à identifier les modifications des métadonnées d'une dépendance open source, ce qui pourrait vous alerter sur une attaque de la chaîne d'approvisionnement, où de nouveaux packages ont été injectés avec des malwares (vous vous souvenez de la backdoor XZ Utils ?)
Certaines industries et environnements réglementaires exigent un inventaire complet des termes de licence et des inventaires d'approvisionnement. Avec une SBOM bien entretenue et complète, vous pouvez assurer la conformité et éviter les problèmes juridiques.
Implémenter un Software Bill of Materials : un aperçu
La génération de SBOMs est accessible à la plupart des développeurs dans leur environnement de travail local — une option est un outil open-source, comme Syft, pour examiner toute image de conteneur ou système de fichiers local :
Syft localement en utilisant leur one-liner, Homebrew, ou une version binaire.Ou avec Aikido
Bonnes pratiques pour gérer efficacement votre Software Bill of Materials
Créez vos premières SBOMs le plus tôt possible dans votre projet, même si vous n'avez pas encore entièrement choisi vos plateformes de sécurité des applications. Plus vous avez d'historique, plus il est facile de suivre les changements qui affectent négativement votre application.
Bien que les outils CLI soient faciles à installer sur votre poste de travail local, ils vous laissent finalement avec des artefacts que vous devez stocker et agréger ailleurs pour générer de véritables insights. Au minimum, intégrez la génération de SBOM dans votre pipeline CI/CD pour vous assurer de ne jamais oublier une exécution manuelle.
L'utilisation d'un format standard de l'industrie comme CycloneDX ou SPDX vous permettra de vous intégrer avec davantage de logiciels de sécurité et de partager les SBOMs avec des partenaires ou des régulateurs.
Commencez à créer un Software Bill of Materials gratuitement
Connectez votre plateforme Git à Aikido pour démarrer un Software Bill of Materials avec un tri instantané, une priorisation intelligente et un contexte précis pour une remédiation rapide.
Premiers résultats en 60 secondes avec un accès en lecture seule.
SOC2 Type 2 et
Certifié ISO27001:2022
Sécurisez-vous maintenant.
Sécuriser votre code, votre cloud et votre runtime dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.
