Analysez votre nomenclature des logiciels (SBOM) pour y détecter les paquets présentant des vulnérabilités de sécurité et des problèmes d’ordre juridique. Automatisez et intégrez l’ensemble de votre processus de gestion des SBOM dans les workflows des développeurs avec Snyk.
Inscrivez-vous gratuitement, sans carte bancaire, pour profiter de toute la puissance de Snyk.
La tenue d’une nomenclature des logiciels est indispensable pour suivre le rythme soutenu du développement, car les composants et leurs versions changent rapidement.
Comme c’est vous qui faites appel à des bibliothèques de logiciels open source, ce sera donc à vous de gérer le passage à une nouvelle bibliothèque en cas de problème de licence.
Les SBOM constituent un maillon clé d’un décret présidentiel américain relatif à la sécurité de la chaîne d’approvisionnement logicielle publié en 2022\. Leur sécurité va donc rester au centre des préoccupations au cours des années à venir.
Une nomenclature des logiciels (SBOM) est une liste reprenant l’ensemble des composants logiciels utilisés par une organisation. Elle se compose ainsi de bibliothèques open source tierces, de paquets de fournisseurs et d’artefacts internes développés par l’organisation.
Une SBOM fait l’inventaire des composants logiciels utilisés dans vos applications. Avec les bons outils de sécurité (notamment d’analyse de la composition des logiciels), une SBOM offre une visibilité sur les risques de sécurité et de licence liés au logiciel que vous créez ou utilisez. La tenue d’une nomenclature des logiciels dans un format conforme est également indispensable pour suivre le rythme soutenu du développement, car les composants et leurs versions changent rapidement.
CycloneDX et SPDX sont les deux normes de SBOM les plus utilisées dans le cadre de la sécurité. Votre choix dépendra des besoins de votre projet. Vous pouvez aussi implémenter les deux. Il est peu probable qu’une norme universelle applicable aux SBOM voie le jour dans un avenir proche. L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) et d’autres organismes ont en effet déclaré s’attendre à la persistance de plusieurs formats en parallèle.
OWASP CycloneDX est une norme de nomenclature des logiciels pensée pour la sécurité des applications et l’analyse des composants de la chaîne d’approvisionnement. Ce format permet de répertorier l’ensemble des composants logiciels internes et tiers. Ses spécifications sont nombreuses et vont au-delà des seules bibliothèques logicielles en incluant des formats telles que les nomenclatures de logiciels en tant que service (SaaSBOM), le Vulnerability Exploitability Exchange (VEX) et bien d’autres. La norme est un projet open source sous licence Apache 2.0 et accepte les contributions sur le référentiel GitHub open source suivant : https://github.com/CycloneDX/specification.
SPDX est une autre norme destinée aux SBOM, cette fois-ci proposée par La Fondation Linux. Elle permet l’expression des composants, licences, droits d’auteurs, références de sécurité et autres métadonnées en lien avec les logiciels. SPDX cherche à limiter les tâches redondantes en simplifiant le partage des données importantes dans un format commun pour une conformité, une sécurité et une fiabilité optimisées. SPDX est un projet open source citoyen hébergé par la Fondation Linux. Les spécifications complètes sont disponibles ici. Le référentiel GitHub de SPDX ici.