La valeur de la nomenclature logicielle (SBOM)

Publié: 2023-11-28

Si vous avez réfléchi un moment à la sécurité de la chaîne d'approvisionnement au cours de l'année écoulée, vous connaissez probablement le terme « Nomenclature logicielle », abrégé en SBOM. Dans sa forme la plus simple, un SBOM peut être comparé à la liste des ingrédients d'un logiciel ; cependant, en termes réels, c'est beaucoup plus sophistiqué.

Dans les entreprises d'aujourd'hui axées sur le numérique – qui dépendent fortement des revendeurs de logiciels, des outils open source et des applications en marque blanche – l'importance d'avoir une nomenclature logicielle ne peut être surestimée.

Définir la SBOM : Qu'est-ce qu'une nomenclature logicielle (SBOM) ?

Une nomenclature logicielle est une liste des composants fondamentaux (comme les ressources de code) utilisés pour créer un produit. Il offre des informations et des détails lisibles par machine décrivant les connexions entre les différents éléments logiciels de votre chaîne d'approvisionnement.

Les SBOM concernent essentiellement l’intégrité des « matériaux » numériques avec lesquels on travaille, en mettant l’accent sur la confiance et la sécurité. Ils peuvent identifier les composants qui composent un logiciel, l'origine de ces fichiers, la manière dont ils ont été créés et s'ils ont été signés en toute sécurité par des personnes de confiance.

Les SBOM sont un outil que les développeurs de logiciels et les consommateurs peuvent utiliser pour renforcer la confiance et la crédibilité dans le cycle de vie du développement et de la distribution de logiciels.

Gartner estime que d'ici 2025, 60 % des organisations développant ou achetant des logiciels pour les infrastructures critiques seront obligées d'utiliser des SBOM, soit une forte augmentation par rapport à moins de 20 % en 2022. Examinons pourquoi et quelle est précisément la valeur d'une facture logicielle. matériaux.

SBOM et cybersécurité : pourquoi la maintenance de la nomenclature logicielle est essentielle

Dans les secteurs public et privé, les cyberattaques sont désormais monnaie courante. Au second semestre 2022, le nombre d’intrusions contre les secteurs gouvernementaux a bondi de 95 % par rapport à la même période en 2021.

On s’attend à ce que l’impact économique mondial des cyberattaques augmente considérablement, passant de 8 440 milliards de dollars en 2022 à 23 840 milliards de dollars en 2027.

C’est pourquoi les entreprises, les groupes de défense de la cybersécurité et même les gouvernements présentent le SBOM comme un élément important de l’infrastructure numérique – et non comme un accessoire agréable.

En fait, le décret américain (EO) 14028 de mai 2021, intitulé « Améliorer la cybersécurité de la nation », impose l'utilisation de SBOM pour renforcer la sécurité des bases de données fédérales américaines. Il rend la nomenclature des logiciels obligatoire pour tout fournisseur de logiciels travaillant avec une agence gouvernementale.

En fin de compte, si les entreprises ne savent pas ce que contient leur logiciel, elles ne peuvent pas pleinement comprendre ou évaluer le risque qu'il comporte pour l'entreprise ou pour d'éventuels clients en aval.

Cas d'utilisation du SBOM

En plus de vous donner une visibilité sur les logiciels tiers, facilitant ainsi la lutte contre les attaques de la chaîne d'approvisionnement, la nomenclature logicielle aide à :

  1. Renforcer les relations fournisseur-acheteur

    Les développeurs de logiciels et leurs utilisateurs doivent avoir confiance dans le logiciel avec lequel ils travaillent. Les métadonnées contenues dans un SBOM peuvent être utilisées par des individus pour vérifier l'intégrité du logiciel et reconnaître rapidement les composants défectueux ou vulnérables qui pourraient avoir un impact sur leurs systèmes et processus.

    De même, les SBOM peuvent mettre en évidence les mesures de sécurité que les développeurs de logiciels doivent prendre pour créer des logiciels sécurisés et de pointe.

  2. Réaliser des analyses de vulnérabilité plus complètes

    Les entreprises peuvent inspecter les composants SBOM pour détecter les vulnérabilités. Si un problème existe, ils seront également conscients des dépendances à corriger. Une vulnérabilité est un défaut qui peut être exploité par des acteurs malveillants cherchant à endommager un logiciel ou à endommager le système sur lequel il fonctionne.

    Les SBOM peuvent garantir que le logiciel utilisé est mis à jour régulièrement et dans son avatar le plus récent. Dans le cas contraire, vous pouvez effectuer une analyse des risques uniquement sur les composants obsolètes au lieu de gaspiller des ressources pour examiner le logiciel dans son intégralité.

  3. Fournir des logiciels de meilleure qualité

    Comme le dit le vieil adage : « Dites ce que vous faites, faites ce que vous dites ». Dans la même veine, le fait de créer et d'évaluer un SBOM aide généralement les développeurs à déterminer si la version logicielle est réellement dans son état le plus optimal.

    Est-ce cohérent et reproductible ? Le SBOM généré reflète-t-il ce que les ingénieurs pensent être contenu dans le logiciel ? Ou bien, existe-t-il un gouffre ? La plupart des générateurs SBOM découvrent au moins quelques éléments sur le logiciel dont le fournisseur n'avait pas connaissance, ce qui leur permet d'améliorer la qualité du logiciel et de publier uniquement les meilleures versions.

  4. Améliorer la prise de décision en matière d’approvisionnement

    L'utilisation des SBOM proposés par des fournisseurs de logiciels tiers permet aux responsables des achats de prendre des décisions d'achat de logiciels plus éclairées. Grâce à une nomenclature logicielle, les spécialistes des achats informatiques peuvent examiner « sous le capot » du logiciel pour comprendre son fonctionnement avant de l'acheter.

    Si le SBOM n'est pas disponible avant l'achat, vous pouvez profiter de ce cas d'utilisation dans un délai raisonnable après l'achat – avant que la dépendance vis-à-vis du fournisseur puisse s'installer – et changer de fournisseur si nécessaire.

  5. Construire des systèmes d'entreprise interopérables

    Les architectes d'entreprise sont chargés de construire le cadre technologique d'une entreprise. Comme pour un architecte de bâtiment, il est beaucoup plus simple de constituer une pile technologique si vous maîtrisez chacun des éléments des ressources disponibles. Cela est particulièrement vrai pour les fusions et acquisitions, où les architectes n'ont pas une visibilité complète sur la provenance, les capacités et les limites du logiciel.

  6. Renforcer la réponse aux incidents de sécurité

    Les SBOM peuvent servir de validation des conclusions et des recommandations d’événements – un indicateur directionnel de ce qui n’a pas fonctionné. En tant que preuve à l'appui, le SBOM aide à l'enquête sur l'incident et à l'évaluation de son effet sur les systèmes concurrents ou sur les versions antérieures du système.

    Pendant et après un incident, les SBOM peuvent également faciliter les interactions entre les collaborateurs, les groupes concernés et les clients.

    Vérifier que le contenu énuméré par un SBOM était assez précis au moment de la diffusion et qu'aucune vulnérabilité identifiée ou non résolue n'existait est une autre application des SBOM dans la gestion de la réponse aux incidents.

    Cela peut réduire les risques juridiques et les responsabilités des entreprises qui ont été confrontées à une violation de données ou à un incident de même gravité.

Considérations d'entreprise pour l'utilisation de SBOM : comment maximiser leur valeur

Il est de la responsabilité du fournisseur d'assembler, de formater et de fournir une nomenclature complète du logiciel pour votre utilisation. Cependant, l'obtention du SBOM ne suffit pas ; les entreprises ont besoin d’une stratégie de gouvernance pour acheminer les SBOM vers les cas d’utilisation les plus précieux.

  1. Sachez à quels fournisseurs envoyer une demande SBOM

    Étant donné que les ressources sont généralement assorties d'une limite d'utilisation fixe, vous devez commencer par une analyse d'impact commercial pour déterminer vos fournisseurs de services les plus essentiels et vos solutions logicielles commerciales disponibles sur étagère ou COTS.

    Pour certaines entreprises ayant des normes de sécurité strictes, tous les fournisseurs ayant un effet sur les données de l'organisation seront tenus de soumettre un SBOM. Pour d’autres parties, seul un sous-ensemble de prestataires de services clés doit peut-être participer à ce processus.

    Il est également essentiel de prendre en compte le niveau d’expertise de vos fournisseurs. Un fournisseur d’entreprise établi sera mieux préparé à fournir ce dont vous avez besoin qu’une startup décousue.

  2. Décidez de la cadence des mises à jour SBOM et utilisez l’automatisation

    La régularité avec laquelle vous devez soumettre les SBOM est également importante à prendre en compte. Dans certains secteurs, les clients peuvent exiger des mises à jour chaque fois que le logiciel est mis à jour.

    Cela peut se produire de manière continue – horaire ou quotidienne – pour les plateformes SaaS, mais ce niveau de fréquence surchargerait les fournisseurs avec les tâches de collecte et de livraison des données SBOM. Généralement, il est préférable de demander au SBOM des « aperçus ou instantanés » des produits à intervalles programmés (quotidiennement, à chaque nouvelle version, etc.).

    Vérifiez si votre contrat comprend un accord de niveau de service (SLA) officiel pour la livraison SBOM.

  3. Établir un workflow d'échange SBOM et de contrôle de version

    Une boîte aux lettres remplie de fichiers JSON et XML est un moyen inefficace de gérer les données. Au minimum, les organisations ont besoin d'une méthode structurée pour surveiller et superviser la version de chaque SBOM.

    Idéalement, vous avez besoin d’un système capable d’ingérer, de décoder et d’évaluer les informations contenues. Les données SBOM peuvent être ingérées par des plateformes telles que Anchore et Mend.io pour envoyer des alertes automatisées et effectuer des analyses de sécurité automatisées, entre autres fonctionnalités.

Prochaines étapes

Pour renforcer davantage les protocoles de sécurité de votre organisation, connectez les SBOM aux outils d'administration des vulnérabilités. Par exemple, les scanners d'applications ou de conteneurs peuvent utiliser les données SBOM pour rechercher des vulnérabilités et des risques reconnus.

À mesure que la fréquence des cyberattaques augmente, la sécurité de la chaîne d’approvisionnement est désormais une considération essentielle pour toutes les entreprises. La nomenclature logicielle (SBOM) est un outil très utile qui aide les organisations à identifier et à surveiller les composants logiciels. Il tient également les utilisateurs pleinement informés des problèmes potentiels de sécurité ou d’efficacité.

Ensuite, élaborez votre stratégie SBOM avec les dernières informations de Splunk sur la sécurité au-delà de la conformité . Si vous avez aimé lire cet article, partagez-le sur les réseaux sociaux en cliquant sur le bouton Facebook, Twitter ou LinkedIn en haut !