Une nomenclature logicielle (SBOM) est basée sur la notion de nomenclature de fabrication (BOM), qui est un inventaire de tous les éléments impliqués dans un produit. Les fabricants de l’industrie automobile, par exemple, conservent une nomenclature complète pour chaque véhicule construit. Les pièces fabriquées par le fabricant d’équipement d’origine et les pièces de fournisseurs tiers sont répertoriées dans cette nomenclature.
En mai 2021, le président américain a signé un décret contenant des directives de cybersécurité relatives à la cybersécurité fédérale détaillant entre autres, SBOM. Un SBOM est une liste de tous les composants open source et tiers inclus dans une base de code. Ces inclusions dans le code source peuvent introduire d’éventuelles vulnérabilités dans les applications développées. Pour assurer la conformité dans ce domaine, les équipes de développement doivent utiliser des plates-formes de développement stables, telles que Amplication.com, afin de promouvoir la transparence globale des applications.
Que doit être inclus dans le SBOM ?
Un SBOM doit inclure un inventaire complet de tous les packages logiciels en cours d’exécution dans le produit, ainsi que l’entité qui les a créés. Le fournisseur, le nom du composant, la version du composant, d’autres identifiants uniques, la connexion de dépendance, l’auteur des données SBOM et l’horodatage sont tous inclus dans les informations de base pour chaque composant.
Pratiques et processus de demande SBOM, y compris la fréquence, la profondeur, les inconnues connues, la distribution et la livraison, le contrôle d’accès et la gestion des erreurs.
Le non-respect des licences open source peut exposer les organisations à des poursuites judiciaires coûteuses et au vol de propriété intellectuelle (PI). Les conflits concernant les licences de logiciels open source, telles que la licence publique générale GNU, peuvent avoir une influence significative sur la conformité d’une organisation. Ce principe devrait être étendu aux API et aux frameworks de base de données. Il est donc important que le SBOM inclue des informations de licence détaillées.
Un SBOM pour une application SaaS peut également inclure des informations sur les API ou les services tiers requis pour exécuter l’application SaaS.
Avantages de l’utilisation d’une nomenclature logicielle
Les SBOM peuvent aider toute entreprise soucieuse de réduire les risques et d’adhérer plus que jamais aux meilleures pratiques de cybersécurité. Ils facilitent le partage d’informations sur les composants logiciels et les vulnérabilités. Voici quelques-uns des avantages les plus importants des SBOM.
Les SBOM constituent un meilleur moyen de suivre les audits de logiciels et les critères de conformité réglementaire. Étant donné que les logiciels open source sont si largement disponibles, les entreprises doivent redoubler de prudence pour éviter les conflits de licence ou les problèmes de conformité. Le non-respect des exigences logicielles peut entraîner des poursuites judiciaires ou même nuire à la réputation d’une entreprise. Les SBOM simplifient la diligence raisonnable et aident à la détection précoce des défauts, ce qui permet de rationaliser le processus. Ils permettent également des réponses plus rapides et plus précises aux demandes de licence.
Les entreprises qui développent des logiciels peuvent utiliser les SBOM pour éviter les vulnérabilités connues et/ou les détecter et les supprimer avant qu’elles ne soient mises en production. Au final, les SBOM aident les créateurs et les développeurs à découvrir et à résoudre plus rapidement les failles de sécurité. Un SBOM simplifie la diligence raisonnable et permet une identification et une résolution plus rapides lorsqu’une entreprise achète un nouveau logiciel.
Les SBOM vous aident à gérer votre logiciel plus efficacement. La recherche manuelle dans des millions de lignes de code pour détecter et corriger les vulnérabilités est extrêmement chronophage et gourmande en ressources pour les ingénieurs. De plus, à mesure que la complexité du logiciel augmente, l’effort augmente également. Un SBOM est un cadre qui aide à la gestion efficace de diverses complications tout en réduisant les dépenses. Les SBOM réduisent le temps et permettent moins de travail non planifié et non planifié en consolidant une liste de composants et de versions en un seul endroit. Ceci est également automatisé, ce qui maintient les prix bas et la production élevée.
Même si un SBOM ne peut pas empêcher les failles non découvertes, il peut aider à la découverte des erreurs tôt dans le processus. En conséquence, cela peut aider à réduire la probabilité que ces défauts se retrouvent dans votre logiciel. De plus, cela contribue à la qualité globale de votre logiciel.
Conclusion
Le principal point à retenir de tout cela est qu’outre le respect de la conformité réglementaire, la mise en œuvre d’un SBOM contribue également à la cyber-résilience globale d’une organisation et de ses clients. Les équipes de développement doivent continuellement maintenir le SBOM à jour et viser à n’utiliser que des bibliothèques de code open source et des segments qui ont un bilan positif dans l’industrie.