5 Clés à retenir des dernières recherches sur l'adoption des SBOM
Interlynk
Le paysage des chaînes d'approvisionnement en logiciels devient de plus en plus complexe, entraînant des risques accrus en matière de sécurité et de conformité. Une manière efficace de relever ces défis est à travers les factures de matériaux logiciels (SBOM) — des listes complètes détaillant tous les composants d'un produit logiciel. Celles-ci aident les organisations à obtenir une visibilité sur les dépendances et à mieux gérer leur chaîne d'approvisionnement en logiciels.
Malgré leur valeur, l'adoption des SBOM progresse plus lentement que prévu.
Des chercheurs de Northwave Cyber Security et de TU Delft ont examiné l'adoption des SBOM à travers le prisme des parties prenantes commerciales. Leur rapport, Traçage du chemin vers l'adoption des SBOM : une approche centrée sur les parties prenantes commerciales, fournit de nouveaux aperçus sur les obstacles et les opportunités concernant l'utilisation des SBOM.
Principale Risque Commercial : Composants Compromis & Réponse Lente aux Vulnérabilités
Les composants compromis et le temps de réponse retardé aux vulnérabilités sont considérés comme les risques commerciaux primaires qui poussent à l'adoption des SBOM.
50 % des organisations B2B
67 % des intégrateurs de logiciels (SI)
…a mis en avant ce point comme une préoccupation majeure.
Il est intéressant de noter que les fournisseurs de logiciels (SV) n'ont pas cité les composants compromis comme un risque — signalant que la demande de SBOM est principalement poussée par les consommateurs de logiciels, et non par les créateurs.
Cependant, l'attention croissante des intégrateurs de systèmes suggère que l'intégration des SBOM dans les flux de travail d'approvisionnement pourrait arriver plus tôt que prévu.
Principale préoccupation des développeurs : manque de connaissance
Une découverte notable : 100 % des développeurs (DEV) ont déclaré qu'un manque de connaissances et d'expertise est le plus grand obstacle à l'adoption des SBOM.
Cela semble contre-intuitif étant donné la disponibilité de :
Ressources provenant de CISA
Des communautés open-source comme SPDX et CycloneDX
Un intérêt public croissant (comme le montre Google Trends)
Mais le document explique que, bien que les équipes commerciales comprennent mieux les attentes en matière de SBOM, les développeurs ont du mal à voir des avantages clairs et directs, ce qui réduit la motivation à explorer les ressources disponibles.
Préoccupation principale des entreprises : Qualité SBOM
Une mauvaise qualité de SBOM est reconnue comme le principal obstacle à l'adoption.
100% des répondants B2B
80% des développeurs
…ont souligné que la qualité du SBOM est un problème significatif.
Étant donné que l'utilité du SBOM dépend fortement de son exhaustivité et de son exactitude, des améliorations de la qualité sont essentielles. Interlynk s'est concentré sur cet aspect via :
Des outils open-source
Des incitations à l'évaluation de SBOM
Des solutions d'amélioration de SBOM pilotées par l'IA
Préoccupation clé des développeurs : mauvaise classification des vulnérabilités
Les développeurs s'inquiètent également de la classification erronée des vulnérabilités — y compris les faux positifs et les faux négatifs.
Malgré les améliorations apportées à des frameworks comme VEX,
60 % des développeurs considèrent que des données de vulnérabilité inexactes constituent un obstacle significatif à l'adoption des SBOM.
Principaux avantages commerciaux : transparence et meilleure gestion des vulnérabilités
Les répondants ont souligné deux avantages importants des SBOM :
1. Amélioration de la gestion des vulnérabilités tout au long de la chaîne d'approvisionnement
2. Meilleure transparence sur les dépendances logicielles
Informations spécifiques aux parties prenantes :
B2B : accord unanime sur l'amélioration de la gestion des vulnérabilités
Intégrateurs de systèmes : mettent l'accent sur la transparence comme la principale valeur
Développeurs : 80 % valorisent les deux également
Conclusions supplémentaires clés
Les intégrateurs systèmes et les fournisseurs de logiciels sont les plus susceptibles d'être des adoptants précoces.
Les clients B2B et les développeurs individuels sont les moins susceptibles.
De nombreux intervenants manquent encore de clarté sur les avantages et les préoccupations concernant le SBOM.
Plus de travail est nécessaire sur les normes, les outils et l'usabilité pour la génération et la consommation de SBOM.
L'adoption du SBOM en est encore à ses débuts, mais l'intérêt augmente.
Les décideurs, les leaders de l'industrie et les fournisseurs d'outils doivent collaborer pour accélérer l'adoption.
Comment Interlynk aide
Interlynk rationalise et automatise les divulgations de sécurité en utilisant des outils open-source et des solutions alimentées par l'IA pour améliorer la qualité des SBOM et renforcer les insights sur les vulnérabilités.
📩 Pour plus d'informations : hello@interlynk.io
Reconnaissance
Merci à Yury Zhauniarovich pour avoir partagé la recherche et nous avoir donné la permission de publier nos idées.
🔗 Référence :
https://zhauniarovich.com/publication/2024/kloeg2024charting/