Le décret exécutif de mai 2021 de la Maison Blanche sur l’amélioration de la cybersécurité aux États-Unis comprend une disposition pour une nomenclature logicielle (SBOM), un enregistrement formel contenant les détails et les relations de la chaîne d’approvisionnement des divers composants utilisés dans la création d’un produit logiciel.

Un SBOM est la liste complète de tous les éléments nécessaires à la création d’une application. Il énumère toutes les parties, y compris les dépendances de logiciels open source (OSS) (directes), les dépendances OSS transitives (indirectes), les packages open source, les agents des fournisseurs, les interfaces de programmation d’applications (API) des fournisseurs et les kits de développement de logiciels des fournisseurs.

Les développeurs et les fournisseurs de logiciels créent souvent des produits en assemblant des composants logiciels open source et commerciaux existants, note le décret. Il est utile à ceux qui développent ou fabriquent des logiciels, à ceux qui sélectionnent ou achètent des logiciels et à ceux qui exploitent le logiciel.

Comme le décrit le décret, un SBOM permet aux développeurs de logiciels de s’assurer que les composants open source et tiers sont à jour. Les acheteurs peuvent utiliser un SBOM pour effectuer une analyse de vulnérabilité ou de licence, les deux pouvant être utilisées pour évaluer les risques d’un produit. Et ceux qui exploitent des logiciels peuvent utiliser les SBOM pour déterminer rapidement s’ils courent un risque potentiel de vulnérabilité nouvellement découverte.

« Un format SBOM largement utilisé et lisible par machine permet de plus grands avantages grâce à l’automatisation et à l’intégration d’outils », indique le décret. « Les SBOM gagnent en valeur lorsqu’ils sont stockés collectivement dans un référentiel qui peut être facilement interrogé par d’autres applications et systèmes. Comprendre la chaîne d’approvisionnement des logiciels, obtenir un SBOM et l’utiliser pour analyser les vulnérabilités connues sont essentiels pour gérer les risques.

Un SBOM est intrinsèquement hiérarchique. Le produit fini se trouve au sommet, et la hiérarchie comprend toutes ses dépendances fournissant une base pour sa fonctionnalité. N’importe laquelle de ces parties peut être exploitée dans cette structure hiérarchique, entraînant un effet d’entraînement.

Pas…