SBOM-a-RAMA ’23 : Mises à jour clés

• L'Acte sur la résilience numérique de l'UE (CRA) est actuellement en vote au sein du comité. Le CRA est susceptible d'utiliser un format international pour les exigences SBOM.

• Le CRA est susceptible de donner aux « autorités de surveillance du marché » le pouvoir d'exiger un SBOM, mais il est peu probable qu'il exige de rendre le SBOM public.

• L'évaluation SBOM de METI est en cours, et toute recommandation finale devrait entrer en vigueur en 2024.‍

• Auto-ISAC a un comité réservé aux membres sur le SBOM, et donc toutes les informations ne peuvent pas être partagées. Cependant, une valeur d'entreprise de 1,5 trillion de dollars est représentée dans ce groupe.

• Le groupe de travail sur l'adoption du SBOM Cloud recommandera que le SaaSBOM inclue un « Bill of Services » (APIs et services dépendants de tiers - cela n'est possible qu'avec CycloneDX).

• CISA doit chercher un moyen de mélanger la conformité M-22–18 (auto-attestation) avec la conformité SBOM.

• Dans des histoires de succès, un participant a partagé que leurs programmes de formation pour les membres du Conseil incluaient une formation sur les exigences SBOM. Un autre participant a partagé que l'examen du SBOM fait partie de l'agenda du conseil de leur entreprise.

• Les représentants des fabricants de dispositifs médicaux semblent incertains quant à la manière de divulguer les vulnérabilités. Une organisation a partagé qu'elle voit le SBOM dans des documents « Microsoft Word » et a donc des difficultés avec cela. Les directives de la FDA sont toujours en attente, tandis que la date limite est le 1er octobre.

• CISA a mentionné que quelques grandes annonces de fournisseurs arrivent « bientôt » et devraient accélérer la consommation et l'adoption du SBOM. Ce sont des entreprises publiques massives. Aucun détail.

Toutes les diapositives devraient être partagées dans les prochains jours sur le site de CISA.