Conformité SBOM : FAQ
Interlynk
Qu'est-ce que le logiciel de facture des matériaux (SBOM) ?
SBOM est un enregistrement formel contenant les détails et les relations de la chaîne d'approvisionnement de divers composants utilisés dans la construction d'un produit logiciel. SBOM est comparé au Cahier des charges (BOM) pour des biens physiques ; cependant, étant donné la nature du développement logiciel (développement continu et mises à jour), SBOM reflète l'état d'un produit logiciel uniquement à un moment précis.
À quoi sert le SBOM ?
Le SBOM peut suivre et garantir sa chaîne d'approvisionnement de composants (composants open source ou commerciaux dans le produit et leur intégrité) et évaluer tout risque légal ou de cybersécurité, tel que l'utilisation d'une licence incorrecte ou d'un composant en fin de vie. Le SBOM peut également être stocké comme un enregistrement formel pour surveiller les nouvelles vulnérabilités de type zero-day.
Qu'est-ce que la conformité SBOM ?
Depuis ses débuts en 2019, l'Agence de cybersécurité et de sécurité des infrastructures (CISA) a cherché un système pour protéger les agences fédérales contre les attaques de la chaîne d'approvisionnement logicielle. SBOM a été recommandé comme une solution potentielle et a été officialisé par la Maison Blanche avec l'Ordonnance Exécutive 14028. L'initiative a fait son chemin à travers différentes agences fédérales telles que la FDA pour les dispositifs médicaux, la FTC pour les dispositifs connectés, et l'OMB pour les achats de logiciels dans les agences fédérales. SBOM est également un pilier clé du Plan de Mise en œuvre de la Stratégie Nationale de Cybersécurité pour la transparence et le suivi de la fin de vie. La conformité SBOM est un terme générique pour s'assurer que les organisations peuvent se préparer à produire et à partager SBOM.
Comment puis-je répondre aux exigences de conformité SBOM ?
La conformité SBOM nécessite trois parties :
Construire le SBOM du produit avec chaque version/correctif du produit
Signer et attester de l'exactitude du SBOM produit
Partager le SBOM avec le client ou l'agence concerné(e)
Construire le SBOM
La CISA recommande l'un des trois formats ouverts : CycloneDX, SPDX, et SWID pour construire le SBOM. La génération du SBOM variera selon la configuration de développement, l'environnement de construction et les pratiques de développement sous-jacentes. Le SBOM peut être généré à partir du code source ou des pipelines de construction et de publication. Le SBOM peut également être construit en analysant des artefacts binaires (SCA) ou des manifestes sous-jacents pour des artefacts tels que des images de conteneurs. Les pages d'outils CycloneDX et SPDX sont d'excellents points de départ pour plusieurs outils de génération open-source et commerciaux couvrant de nombreux environnements de développement.
Signer le SBOM
Certaines agences exigent que le SBOM soit signé pour garantir l'intégrité du contenu. La signature SBOM garantit que le contenu du SBOM a été examiné et confirmé par le constructeur du logiciel. Le SBOM peut être signé avec des outils open source tels que co-sign pour les images de conteneurs ou en utilisant un certificat commercial tel que certificats RSA de CA.
Partager le SBOM
Le SBOM liste tous les composants open source et commerciaux et leurs relations incluses dans le SBOM, ainsi que leurs versions, licences, et informations de validation telles que les hachages. Cela doit être traité comme un document sensible et partagé avec précaution. Cependant, la conformité n'a pas explicitement demandé de méthode spécifique de partage, il est donc théoriquement possible de partager via email ou comme un document partagé. Interlynk recommande d'utiliser des mécanismes de partage qui sont vérifiables et traçables.
Comment est utilisé le SBOM ?
CISA recommande que le SBOM soit utilisé pour vérifier l'intégrité et surveiller les applications que les agences utilisent pour de nouvelles vulnérabilités de jour zéro et des logiciels en fin de vie. Cela nécessite que le SBOM inclue un ensemble minimum d'éléments (Éléments minimaux de l'NTIA) et des noms de produits et de composants appropriés (PURL et CPE). Par conséquent, il est important de construire un SBOM qui inclut suffisamment de noms de produits et de composants, de vérifier les identifiants et les relations entre les composants.
Où puis-je en savoir plus ?
Interlynk est construit par des experts dans ces technologies émergentes, et nous sommes heureux de répondre à toutes les questions que vous pourriez avoir. N'hésitez pas à nous contacter à hello@interlynk.io ou via interlynk.io