Nomenclature SBOM
Software Bill of Materials, SBOM est un inventaire normé pour les logiciels, ses composants et ses indépendances. Il est développé par la National Telecommunications and Information Administration (NTIA) du ministère du commerce américain. Ces inventaires visent à être exhaustifs - ou à indiquer explicitement les points sur lesquels ils ne peuvent l'être. Les SBOM peuvent inclure des logiciels libres ou propriétaires. Les inventaires peuvent être disponibles publiquement ou à accès restreint. Les SBOM doivent inclure des attributs pour identifier de manière unique les composants dans un format de données standard. La génération la plus efficace de SBOM est intégré au processus de développement. Pour les logiciels plus anciens, il faut recourir à des méthodes manuelles. SBOM concourt à établir une cartographie des SI la plus précise possible et à répondre aux vulnérabilités touchant des composants massivement réutilisés.
Bénéfices
Les avantages à utiliser SBOM sont :
- L’amélioration de la cybersécurité et des risques de sous-traitance détaillés dans l’ISO 27036, les risques de sous-traitance en cascadeet le SCRM.
- L’amélioration des développements.
- La gestion des vulnérabilités (voir l’exemple de VEX, Vulnerability Exploitability eXchange).
- La réduction des coûts.
- Un contrôle de la gestion des licences.
- La maitrise des risques de conformité.
Contenu
L'objectif d'un inventaire SBOM est d'identifier de manière unique et non ambiguë les composants et leurs relations. Les composants de base prennent en charge de nombreux cas d'utilisation mais des attributs supplémentaires peuvent être nécessaires pour prendre en charge des cas d'utilisation avancés.
Composants de base de SBOM |
Nom de l’auteur |
Nom du fournisseur |
Nom du composant |
Version |
Empreinte (hash) |
Identifiant |
Relation |
Pour tirer parti de la nomenclature SBOM, il est nécessaire d’automatiser le processus. Cela nécessite une interopérabilité tout au long de la chaîne d'approvisionnement et des formats de données.
Les formats SPDX, CycloneDX et SWID se concentrent sur l'identification des composants logiciels et la transmission des métadonnées. Ils peuvent être utilisés pour produire, consommer et transformer les composants SBOM.
Le Common Platform Enumeration (CPE) du NIST peut aussi être utilisé. Basé sur la syntaxe générique des identificateurs de ressources uniformes (URI), CPE comprend un format de nom formel, une méthode de vérification des noms et un format de description pour lier le texte et les tests à un nom. Le dictionnaire est fourni au format XML. Il est hébergé et maintenu par le NIST.
Des tutoriels publiés par la NTIA montrent des cas concrets d’utilisation de SBOM.
Source : Scribe Security - scribesecurity.com