Nomenclature des logiciels
Voyons pourquoi les développeurs devraient élaborer une nomenclature logicielle (SBOM) pour assurer la transparence et la sécurité de leurs applications.
Nomenclature des logiciels
Ouvrez votre IDE préféré, accédez à votre projet le plus récent et ouvrez son fichier de verrouillage (package-lock.json, go.mod, Pipfile.locket ainsi de suite). Vous trouverez probablement des centaines ou des milliers de paquets et de bibliothèques open-source, illustrant exactement l'étendue des parties invisibles et inconnues de votre application.
Une nomenclature logicielle (SBOM) est un inventaire similaire de tous les composants logiciels, bibliothèques et dépendances sur lesquels repose votre application, mais elle va plus loin que les noms des paquets et les versions épinglées. En agrégeant des données sur les licences open-source et autres, un SBOM vous donne une visibilité complète, que vous pouvez utiliser pour prévenir les attaques de la chaîne d'approvisionnement ou identifier de nouvelles vulnérabilités dans une dépendance à deux, trois, ou plus de couches de profondeur.
est le coût moyen des violations de données impliquant des dépendances de tiers en tant que vecteur d'attaque principal.
IBM
contiennent des outils et des bibliothèques open-source présentant au moins une vulnérabilité active.
Synopsys
a été découvert parmi les bibliothèques open-source les plus populaires, 1 téléchargement sur 8 contenant des risques connus et évitables.
Sonatype
Un exemple de nomenclature logicielle et son fonctionnement
Un SBOM se présente sous différents formats de sortie et structures de données, mais il s'agit en fin de compte d'une base de données d'artefacts, y compris leurs noms de paquets, versions, sources, licences, URL, et plus encore. Les SBOM identifient également la relation entre deux artefacts afin de rendre transparent le réseau de dépendances sur lequel s'appuie votre application.
Si les SBOM ne sont pas particulièrement utiles à parcourir, ils sont en revanche extrêmement utiles pour la gestion globale des vulnérabilités de votre application. Vous pouvez alimenter les SBOM de vos applications avec d'autres outils offrant une analyse des dépendances, une détection des logiciels malveillants ou des données de fin de vie afin de vous assurer que vous faites apparaître toutes les vulnérabilités possibles de votre application, et pas seulement celles qui se trouvent à la surface.
En quoi le fait de disposer d'une nomenclature logicielle aide-t-il les développeurs ?
Lors de la résolution de pannes à la volée, un SBOM à jour vous aide à identifier exactement le paquet responsable, même s'il se trouve à deux ou trois niveaux de profondeur.
En comprenant parfaitement les composants dont votre application a besoin pour fonctionner efficacement, vous pouvez atténuer les risques de manière plus proactive en identifiant les points faibles éventuels et en donnant la priorité aux corrections ou aux migrations vers des dépendances plus sûres.
Avec un SBOM, vos équipes de développement et d'exploitation disposent d'une source unique de vérité pour collaborer sur les problèmes ou donner la priorité à des solutions proactives aux problèmes actuels.
Les SBOM permettent d'identifier les modifications apportées aux métadonnées d'une dépendance open-source, ce qui peut vous mettre sur la piste d'une attaque de la chaîne d'approvisionnement, où de nouveaux paquets ont été injectés avec des logiciels malveillants (vous vous souvenez de la porte dérobée XZ Utils?).
Certains secteurs et environnements réglementaires exigent un inventaire complet des conditions de licence et des inventaires de sources d'approvisionnement - avec un SBOM complet et bien géré, vous pouvez garantir la conformité et éviter les problèmes juridiques.
Mise en œuvre d'une nomenclature logicielle : une vue d'ensemble
La plupart des développeurs peuvent générer des SBOM dans leur environnement de travail local. Une option consiste à utiliser un outil open-source, tel que Syft, pour étudier n'importe quelle image de conteneur ou n'importe quel système de fichiers local :
Syft localement en utilisant leur one-liner, Homebrew, ou une version binaire.Ou avec l'aïkido
Meilleures pratiques pour gérer efficacement votre nomenclature logicielle
Créez vos premiers SBOM le plus tôt possible dans votre projet, même si vous n'avez pas encore choisi toutes les plates-formes de sécurité de votre application. Plus vous aurez d'historique, plus il sera facile de suivre les changements qui ont un impact négatif sur votre application.
Si les outils CLI sont faciles à installer sur votre poste de travail local, ils vous laissent en fin de compte avec des artefacts que vous devez stocker et agréger ailleurs pour générer de vraies informations. Au minimum, intégrez la génération de SBOM dans votre pipeline CI/CD pour vous assurer de ne jamais oublier une exécution manuelle.
L'utilisation d'un format standard comme CycloneDX ou SPDX vous permettra d'intégrer davantage de logiciels de sécurité et de partager les SBOM avec des partenaires ou des organismes de réglementation.
Commencer à créer une nomenclature logicielle gratuitement
Connectez votre plateforme Git à Aikido pour lancer une nomenclature logicielle avec triage instantané, priorisation intelligente et contexte précis pour une remédiation rapide.
Premiers résultats en 60 secondes avec accès en lecture seule.
SOC2 Type 2 et
Certifié ISO27001:2022
