mercredi, 24 juillet 2024

SBOM : qu’est-ce que c’est et pourquoi les organisations en ont besoin ?

Dans le sillage constant des cyberattaques, des piratages et des rançongiciels, les entreprises veulent et exigent de mettre de l’ordre dans leurs chaînes d’approvisionnement d’applications logicielles.

En cela, ils se tournent de plus en plus vers un précieux outil de présence : la nomenclature logicielle (SBOM).

Comme l’a rappelé la Cybersecurity and Infrastructure Security Agency (CISA), les SBOM sont « devenus une base cruciale dans la sécurité des logiciels et la fourniture d’applications logicielles chaîne de gestion des dangers. »

Qu’est-ce qu’un SBOM ?

Si vous avez travaillé dans l’ingénierie ou la fabrication, vous connaissez déjà une dépense de matériaux, ou BOM, qui est une liste de tous les pièces nécessaires pour produire un produit particulier – des matières premières aux sous-composants et tout ce qui se trouve entre les deux, en plus des quantités de chacun nécessaires pour un article fini. Un SBOM est donc une nomenclature de logiciel. CISA définit un SBOM comme un « inventaire intégré, une liste de composants » qui comprend des composants d’application logicielle.

Selon le département américain du commerce, les SBOM devraient proposer une liste complète, officiellement structurée et lisible par machine de ces pièces, ainsi que les bibliothèques et les modules nécessaires pour construire l’application logicielle, les relations de la chaîne d’approvisionnement entre eux et leurs vulnérabilités fournies. De manière significative, les SBOM donnent un aperçu de la composition des logiciels créés par des applications logicielles open source et des logiciels industriels tiers.

Le décret exécutif de Biden sur l’amélioration de la cybersécurité de la nation a agi comme une sorte de signal d’alarme pour les fournisseurs de logiciels fédéraux en ce qui concerne les SBOM. Ils doivent maintenant les mettre en œuvre et suivre les aspects minimaux à l’intérieur.

Et de nombreux experts exhortent fortement les fournisseurs privés d’applications logicielles à faire de même.

Pourquoi les exécuter ?

Lors de la composition d’applications (idéalement sûres), les concepteurs inspectent le code qu’ils ont composé pour s’assurer qu’il n’y a pas d’erreurs de raisonnement ou de codage. Pourtant, les applications d’aujourd’hui sont généralement un conglomérat de code propriétaire en plus de parties open source et tierces – une application, par exemple, peut être un mélange de dizaines d’éléments de ce type.

Ce logiciel tiers industriel et open source peut être limité dans son exposition. Et les opposants exploitent cela de manière significative en ciblant des vulnérabilités que les organisations ne sont pas en mesure de découvrir dans les bibliothèques tierces en raison du fait qu’elles n’ont pas une présence complète. Cela a entraîné des événements tels que la vulnérabilité Log4j et l’attaque de la chaîne d’approvisionnement de l’application logicielle SolarWinds.

Une étude annuelle réalisée par le Run-throughs Cybersecurity Proving Ground sur 2 409 bases de code a révélé que 97 % comprenaient des éléments open source. Il a également révélé que 81% de ces bases de code avaient au moins une vulnérabilité open source reconnue et que 53% consistaient en des conflits de licence.

Avec les organisations responsables de leurs chaînes de développement de logiciels (codes exclusifs, open-source et tiers), les responsables de la sécurité et de la gestion des menaces recherchent des options qui non seulement aident à atténuer les risques de sécurité des éléments et à fournir danger de la chaîne, mais qui raccourcit le délai de mise sur le marché, automatise la réponse aux incidents et aide à respecter les exigences de conformité, selon le rapport 2022 Innovation Insight for SBOMs de Gartner.

« Les SBOM représentent une première étape importante dans la recherche des vulnérabilités et des points faibles de vos produits et des appareils que vous vous procurez auprès de votre chaîne d’approvisionnement d’applications logicielles », écrivent les auteurs du rapport Manjunath Bhat, Dale Gardner et Mark Horvath. Les SBOM permettent aux organisations de « réduire les risques » des grandes quantités de code qu’elles produisent, reçoivent et exploitent.

Les SBOM « améliorent l’exposition, la transparence, la sécurité et la stabilité du code propriétaire et open source dans les chaînes d’approvisionnement logicielles », selon le rapport. La société conseille aux responsables de l’ingénierie des applications logicielles d’intégrer l’outil tout au long du cycle de vie de la livraison des applications logicielles. Selon au groupe de recherche de la Fondation Linux.

Toujours selon une étude Linux :

  • 51 % des entreprises déclarent que les SBOM permettent aux concepteurs de comprendre plus facilement les dépendances entre les composants d’une application.
  • 49 % déclarent que les SBOM facilitent grandement la surveillance des vulnérabilités des composants.
  • 44 % déclarent que les SBOM facilitent la gestion de la conformité des licences.

Ils sont « un outil essentiel dans votre kit d’outils de sécurité et de conformité », comme le concurrence Bhat, Gardner et Horvath de Gartner. « Ils aident à vérifier en permanence l’intégrité des applications logicielles et alertent les parties prenantes des vulnérabilités de sécurité et des infractions aux politiques. »

Cas d’utilisation, discuté

Étant donné qu’un SBOM se compose de pièces utilisées dans une application, la toute première préoccupation à laquelle il faut répondre est de savoir pourquoi une entreprise a besoin de ces informations, a expliqué Tim Mackey, responsable de la sécurité principale stratège chez Synopsys. En règle générale, la réponse est qu’ils ne veulent pas être victimes d’une attaque de conception Log4Shell, a-t-il déclaré.

Cette simple déclaration de gestion des correctifs implique qu’il existe un processus qui examine toutes les applications logicielles pour l’utilisation de Log4j, puis mappe cette utilisation vers une base de données des variations sensibles de Log4j. Si la version de Log4j trouvée dans l’application s’avère vulnérable, une alerte est envoyée aux programmeurs et, idéalement, le problème est résolu.

« tout ce flux de travail s’effondre », a-t-il déclaré, s’il y a un logiciel qui n’a pas été examiné, si la base de données des vulnérabilités est obsolète ou s’il y a un problème dans le mappage des variantes reconnues aux variations sensibles.

Mackey souligne le fait que, à moins qu’une organisation ne puisse mentionner en toute confiance que ses procédures de gestion des correctifs couvrent tous les logiciels, elle a besoin d’un SBOM.

« En l’absence de telles informations », a-t-il déclaré, « il est très difficile pour toute organisation d’empêcher les cyberattaques ciblant les composants d’applications logicielles tierces. »

Une pratique d’entreprise en pleine croissance

Selon Gartner, d’ici 2025, 60 % des organisations qui construiront ou achèteront des applications logicielles d’infrastructure cruciales rendront obligatoires et normaliseront les SBOM dans leurs pratiques d’ingénierie des applications logicielles. Cela reflète une augmentation d’environ 20 % par rapport à 2022.

Le groupe d’étude Linux Structure Research a révélé que 78 % des organisations prévoient de produire ou d’accepter des SBOM en 2022, soit une augmentation de 66 % par rapport à 2021. Le groupe ont également signalé qu’un consensus supplémentaire sur le marché et la politique du gouvernement fédéral stimuleront encore plus l’adoption et la mise en œuvre du SBOM.

Une variété croissante d’entreprises émergent pour aider les entreprises à créer des SBOM. Ils comprennent Anchore, Mend, Rezilion, Aqua et Synopsys.

L’avantage accru des SCA

Mais bien qu’il y ait un regain d’intérêt pour les SBOM suite à la commande de Biden, le principe a été largement utilisé sur le marché de la sécurité de l’analyse de la structure des applications logicielles (SCA) pour de nombreuses années, Mackey a concouru. Les fournisseurs du marché utilisent les SBOM pour identifier les vulnérabilités open source non corrigées.

Le flux de travail SBOM peut généralement être découvert dans les outils SCA. Le marché SCA est un marché mature avec de nombreux fournisseurs, a déclaré Mackey.

Bien qu’il y ait une « attention intense » sur l’idée d’un SBOM, il n’est pas toujours reconnu qu’un SBOM est simplement un fichier notant les composants qui composent une application.

Il ne s’agit pas d’informations associées aux vulnérabilités, aux fonctionnalités, à la facilité d’entretien ou même à l’âge du composant. Ces détails doivent provenir d’autres sources découvertes par des outils tels que les SCA, a-t-il déclaré, et doivent également être pris en charge par des flux de travail.

En termes simples, « sans ces sources et flux de travail, un SBOM n’est pas plus efficace que d’informer quelqu’un qui ne sait pas qu’il doit changer régulièrement l’huile de son véhicule de la structure chimique de l’huile moteur », a déclaré Mackey. .

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de mieux comprendre la technologie d’entreprise transformatrice et de négocier. En savoir plus sur l’adhésion.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline