Qu'est-ce qu'une nomenclature logicielle (SBOM) ?
Une SBOM est une liste exhaustive qui répertorie tous les composants logiciels, leurs dépendances et les métadonnées associées d'une application. La SBOM fonctionne comme l'inventaire de tous les éléments constitutifs d'un produit logiciel. Grâce à elle, les entreprises peuvent mieux comprendre, gérer et sécuriser leurs applications.
Plusieurs facteurs motivent le besoin d'une SBOM, notamment :
- Assurer la transparence des logiciels
- Gérer les logiciels open source et les dépendances de tiers
- Identifier et atténuer les vulnérabilités en matière de sécurité
- Respecter les exigences légales et réglementaires
En mai 2021, le gouvernement américain a publié un décret mettant l'accent sur l'importance des SBOM (nomenclatures logicielles) pour renforcer la sécurité de la chaîne d'approvisionnement logicielle, afin d'améliorer la cybersécurité nationale.
La SBOM en tant qu'inventaire
Une SBOM contient l'inventaire des composants logiciels et de leurs dépendances. Les applications logicielles modernes s'appuient souvent sur des bibliothèques et des cadres tiers. Ces dépendances interagissent directement avec d'autres composants. Il en résulte une imbrication complexe de composants interconnectés. Les entreprises doivent donc comprendre clairement ces dépendances. Une SBOM fournit une visibilité claire sur les relations et la composition d'une application, ce qui aide les entreprises à gérer plus efficacement leur chaîne d'approvisionnement logicielle.
Cet inventaire comprend des informations sur l'origine des composants et les licences. En identifiant la source et la licence de chaque composant, une entreprise peut garantir sa conformité aux obligations légales et aux conditions de la licence. La SBOM permet aux entreprises d'identifier les risques liés à l'utilisation de composants provenant de sources non fiables ou à la violation des conditions de licence des composants inclus.
Utiliser des SBOM pour vérifier les vulnérabilités connues
Une SBOM joue également un rôle essentiel dans l'identification et l'atténuation des vulnérabilités en matière de sécurité. Une entreprise peut vérifier systématiquement son inventaire de composants et de dépendances par rapport à des bases de données de vulnérabilités connues, telles que la base de données des failles et vulnérabilités communes. Les équipes de sécurité peuvent donc identifier et traiter en amont les cybermenaces potentielles dans les dépendances des applications logicielles avant leur exploitation par les cyberattaquants.
Formats et normes de la SBOM
Un grand nombre de formats et de normes ont été développés pour créer et partager des SBOM. L'utilisation de formats standard simplifie le partage des données SBOM au sein de la chaîne d'approvisionnement logicielle, ce qui améliore la transparence et la collaboration entre les parties prenantes. Les formats les plus connus sont les suivants :
Ces formats proposent divers degrés de précision adaptés à différents écosystèmes logiciels, ce qui permet aux entreprises de sélectionner le format le plus adapté à leurs exigences.
L'impact des applications cloud natives sur les SBOM
Les applications cloud natives ont complexifié les écosystèmes logiciels. Assurer la sécurité de la chaîne d'approvisionnement logicielle représente une tâche colossale, car les applications sont distribuées. Elles dépendent souvent d'images de conteneurs conçues à l'avance et peuvent comprendre des centaines voire des milliers de microservices, chacun ayant ses propres composants et dépendances. Si elles ne sont pas correctement gérées, ces applications risquent d'introduire des vulnérabilités en matière de sécurité.
Dans ce contexte, le rôle essentiel que jouent les SBOM pour assurer la sécurité des applications cloud natives est évident. Les SBOM fournissent un inventaire complet des composants logiciels. Ainsi, les entreprises peuvent effectuer systématiquement des tests de vulnérabilité afin de gérer et de sécuriser efficacement leurs applications dans le cloud.
Avantages de la mise en œuvre des SBOM
La mise en œuvre des SBOM présente plusieurs avantages pour les entreprises, notamment :
- Amélioration de la stratégie de sécurité : les SBOM permettent aux entreprises d'identifier et de traiter plus efficacement les risques en matière de sécurité.
- Gestion des vulnérabilités simplifiée : les entreprises peuvent prioriser les vulnérabilités et y remédier plus efficacement.
- Amélioration de la collaboration entre les équipes : les SBOM offrent une vue d'ensemble claire sur les composants constitutifs d'une application et les risques qui y sont liés. Cette transparence facilite la collaboration entre les équipes de développement, de sécurité et juridiques au sein d'une entreprise, en leur permettant de travailler de manière plus synchronisée.
- Simplification des audits de logiciels et des contrôles de conformité : les entreprises peuvent plus facilement démontrer qu'elles respectent les exigences légales et réglementaires. Elles peuvent également effectuer des audits logiciels en interne pour garantir la sécurité et la qualité de leurs applications.
Défis liés à l'adoption des SBOM
Les SBOM présentent des avantages indéniables, mais leur intégration dans le cycle de développement logiciel pose plusieurs défis aux entreprises :
- Intégration aux outils et flux de travail existants : les entreprises doivent intégrer de façon stratégique et cohérente la création et la gestion des SBOM dans leurs processus de développement et de sécurité existants. Cette démarche peut ralentir la vitesse de développement.
- Garantir l'exactitude et la mise à jour des informations: garder des SBOM précises et actualisées, surtout pour les applications souvent mises à jour ou modifiées, peut nécessiter beaucoup de temps et de ressources.
- Répondre aux préoccupations en matière de respect de la vie privée et de propriété intellectuelle : le partage des SBOM avec des parties prenantes externes peut susciter des inquiétudes au sein d'une entreprise quant à la divulgation d'informations confidentielles ou sensibles. Les entreprises doivent donc trouver un équilibre entre sécurité et transparence.
- Encourager l'adoption tout au long de la chaîne d'approvisionnement logicielle : pour que cette démarche soit réellement efficace, toutes les parties de la chaîne d'approvisionnement logicielle doivent adopter et partager les SBOM. Pour progresser vers cet objectif, toutes les parties prenantes doivent collaborer, uniformiser les processus et devenir transparentes.
Intégrer les SBOM aux outils de gestion des vulnérabilités
Pour renforcer davantage la stratégie de sécurité d'une entreprise, les SBOM peuvent être intégrés à des outils de gestion des vulnérabilités. Par exemple, les outils d'analyse d'applications ou de conteneurs peuvent utiliser les informations fournies dans une SBOM pour rechercher des vulnérabilités et des cybermenaces connues. Les outils de sécurité automatisés peuvent vérifier régulièrement les inventaires de SBOM par rapport à une base de données CVE. Des alertes peuvent être générées lorsque l'utilisation d'un composant par une entreprise enfreint les conditions de la licence.
En intégrant les données de la SBOM directement dans leurs processus de gestion des vulnérabilités et d'audit de conformité, les entreprises peuvent prioriser de manière plus efficace leurs efforts et cibler plus précisément les risques à traiter.
CrowdStrike Falcon® Cloud Security inclut Cloud Workload Protection, qui offre une visibilité complète sur les workloads et les conteneurs. CrowdStrike Falcon® Cloud Security analyse en amont les images de conteneurs, les registres et les bibliothèques pour détecter rapidement les cybermenaces, générer des alertes immédiates et fournir des informations exploitables pour la correction.
Rapport 2023 sur les risques liés au cloud
Découvrez les principales cybermenaces liées à la sécurité du cloud à surveiller en 2023, et acquérez les compétences nécessaires pour mieux les gérer afin de garantir votre protection jusqu'en 2024.
Télécharger