Tout sur CycloneDX 1.6
1 mai 2024
Ingénierie
SBOM est la pierre angulaire de la transparence logicielle et de la résilience cybernétique.
CycloneDX est l'une des trois spécifications SBOM recommandées par NTIA/CISA et l'une des spécifications SBOM les plus populaires.
La Fondation OWASP a publié la version 1.6 de CycloneDX plus tôt ce mois-ci.
En plus de plusieurs améliorations, la version 1.6 ajoute la capacité de construire un Bill of Materials Cryptographique (CBOM) et de spécifier les attestations CycloneDX (CDXA).
Creusons un peu plus.
Cryptographie post-quantique (PQC)
À mesure que l'informatique quantique progresse, elle sera finalement en mesure de briser toutes les anciennes méthodes de cryptographie utilisées pour les signatures numériques et le chiffrement. CISA mène une initiative de cryptographie post-quantique (PQC) pour préparer les agences fédérales et les industries privées à ce saut quantique. L'une des premières recommandations est de commencer à dresser un inventaire cryptographique des actifs utilisés.
C'est là que CycloneDX 1.6 entre en jeu.
Facture de matières cryptographiques (CBOM)
Le CBOM est une extension du SBOM qui inclut des propriétés cryptographiques. OWASP a publié un Guide Autoritaire du CBOM avec la sortie de CycloneDX 1.6 pour guider la construction et la consommation du CBOM.
La recherche d'IBM sur le CBOM a étendu la version 1.4 de CycloneDX pour inclure :
Composant :
crypto-assetPropriétés :
cryptoPropertiesDépendances :
dependencyType
CycloneDX 1.6 atteint la même chose en :
ajoutant un
cryptographic-assetaux types de composants supportésajoutant un
providesà son nœuddependenciespour soutenir l'identification d'une valeur cryptographique (fonctionnalité, fichiers) fournie par un composantajoutant
cryptoPropertiesau nœudcomponentspour capturer les détails des actifs cryptographiques
cryptoProperties joue un rôle clé dans la capacité à documenter une grande variété d'actifs cryptographiques et de métadonnées associées, telles que :
assetType— le type d'actif décrit : algorithme, certificat, protocole, ou matériel connexealgorithmProperties— Si le type d'actif est unalgorithm, cela décrit les propriétés de l'algorithme telles que primitive, courbe, remplissage, environnement et niveau de sécurité (classique et nistQuantum)certificateProperties— Si le type d'actif est lecertificate, cela décrit les propriétés du certificat telles que nom, émetteur, fenêtre de validité, format et détails de la signatureprotocolProperties— Si le type d'actif est leprotocol, cela peut spécifier le type spécifique (‘tls’, ‘ipsec’), version, suites de chiffrement en cours d'utilisation et types de transformation ikev2relatedCryptoMaterialProperties— Si le type d'actif estrelated-crypto-material, cela décrit des détails supplémentaires tels que taille, format, valeur, dates de création, de mise à jour et d'activation
Le Guide Autoritaire du CBOM inclut des exemples, y compris un pour décrire “AES-128-GCM”.
Le complément CBOM fait référence et remercie la recherche d'IBM sur le CBOM, et donc, toute mise en œuvre devrait utiliser à la fois la spécification et la recherche d'IBM pour des informations contextuelles.
Attestations CycloneDX (CDXA)
CycloneDX 1.6 ajoute l'attestation et décrit cela comme « conformité en tant que code ». OWASP a également publié un Guide Autoritaire des Attestations avec la sortie de CycloneDX 1.6 pour guider la construction et la consommation de CDXA.
De plus, OWASP a publié un Guide Autoritaire des Attestations.
CDXA vise à utiliser les attestations pour répondre aux exigences de sécurité, automatiser la génération de preuves, communiquer avec les évaluateurs et servir de norme pour les versions lisibles par machine de leurs exigences.
Conformité en tant que Code
Dans l'approche CDXA, la conformité aux normes est décomposée en :
Définir les exigences standards
Faire des déclarations contre ces exigences
Capturer des preuves pour soutenir ces déclarations
Signer l'attestation qui répertorie tout ce qui précède
Les attestations sont un ensemble de déclarations, de contre-déclarations et de preuves associées.
Dans CDXA, les déclarations, contre-déclarations, preuves et métadonnées associées sont tous documentés dans le SBOM et signés de manière cryptographique par la partie attestante.
Pour y parvenir, CycloneDX 1.6 ajoute :
definitionsnœud pour spécifier une norme et ses détailsdeclarationsnœud pour capturer les déclarations associées, les preuves, les signatures et les métadonnées
Définitions
Le nœud definitions est destiné à décrire la norme en détail et prend en charge la version standard et les niveaux de conformité.
CDXA est livré avec des schémas d'attestation pour des normes de sécurité courantes :
Cadre de développement de logiciels sécurisés NIST (SSDF)
Cycle de vie des logiciels sécurisés PCI (PCI-SLC)
Modèle de maturité de la sécurité des constructions (BSIMM)
Norme de vérification de la sécurité des applications OWASP (ASVS)
Norme de vérification de la sécurité des applications mobiles OWASP (MASVS)
Norme de vérification des composants logiciels OWASP (SCVS)
Il peut également créer une norme personnalisée avec des exigences d'attestation.
Les exigences SSDF, par exemple, sont détaillées dans le dépôt CycloneDX.
Déclarations
Le nœud declarations est l'enregistrement réel des revendications liées au contenu SBOM et aux exigences standard.
CDXA prend en charge l'enregistrement de la liste des parties évaluatrices des revendications signées, y compris le raisonnement, les preuves, les contre-preuves et les stratégies d'atténuation.
Le Guide Autoritaire OWASP sur les Attestations comprend des exemples de la façon d'attester des revendications.
CDXA fait un grand bond vers la génération automatique de preuves pour de nombreuses exigences, mais nécessitera des outils supplémentaires pour capturer des détails spécifiques.
Exemple : SSDF PW2.1 : “Avoir une personne qualifiée (ou des personnes) qui n'ont pas participé à la conception.”
CycloneDX continue de progresser vers l'amélioration de la couverture du SBOM et l'interprétation et l'utilisation des données de manière plus efficace.
CBOM et CDXA renforceront considérablement la gestion des risques en cryptographie post-quantique et le mouvement “la conformité en tant que code”.