Le besoin d'un SBOM — Partie 1
1 mars 2023
Interlynk
En 2023, la liste des matériaux logiciels ("SBOM") continue de dominer les conversations liées à la divulgation et à la sécurité des logiciels. Bien qu'il existe des approches alternatives pour les divulgations de logiciels, le SBOM a été examiné par un groupe multipartite dirigé par l'Administration nationale des télécommunications et de l'information (NTIA) dans un processus de plusieurs années et est donc considéré comme approprié et efficace pour réduire les risques de cybersécurité à la vitesse des machines. Il pourrait être intéressant de passer par un double-clic pour comprendre comment cela est possible.
CVE et NVD
Depuis 1999, MITRE gère une liste de vulnérabilités de cybersécurité publiquement divulguées en utilisant des IDs spécialement désignés appelés Common Vulnerability Enumeration (« CVE »).
Les CVE couvrent une grande variété de matériel, de logiciels et de leurs composants, tels que CVE-2013–4632 : vulnérabilité de déni de service dans le routeur d'accès Huawei (AR), CVE-2022–30190 : vulnérabilité d'exécution de code à distance dans l'outil de diagnostic de support Microsoft Windows (MSDT) et CVE-2022–44054 : un potentiel backdoor de code dans le paquet d8s-xml PyPI.
Les chercheurs en sécurité recherchent continuellement de nouvelles vulnérabilités dans les logiciels et produits matériels disponibles publiquement et les enregistrent avec CVE pour être corrigées par les développeurs construisant ces produits.
La liste CVE de MITRE inclut la Base de données nationale des vulnérabilités (« NVD »), un dépôt d'informations sur les vulnérabilités basé sur des normes par le gouvernement américain. La NVD est basée sur et est entièrement synchronisée avec la liste CVE de MITRE.
Ce système permet de vérifier tout produit et version contre la NVD pour toutes les vulnérabilités connues. Ce nom/version de produit de la carte des vulnérabilités a été la fondation des programmes de gestion des vulnérabilités pendant près de deux décennies.
Mais, bien sûr, il y a un défi.
Chaîne d'approvisionnement logicielle
Le matériel et les logiciels modernes ne sont que rarement écrits de zéro. Une application typique est composée de composants commerciaux tiers ou open-source préconstruits. Par exemple, l’iPhone 14 inclut les panneaux d’affichage de Samsung, les capteurs d'image de Sony, ainsi que des composants de Qualcomm, Broadcom et Skyworks, tandis que l'application Solarwinds Network Configuration Manager (NCM) inclut ActiveSkin, UltraToolBars et Log4Net, entre autres.
Source : https://www.therussianstore.com/blog/the-history-of-nesting-dolls/
Les composants peuvent dépendre de sous-composants fournis par un autre niveau de fournisseurs open-source ou commerciaux. Log4Net utilise une autre bibliothèque open-source, qs, pour l'analyse de requêtes.
Cette chaîne de dépendance de composants commerciaux ou open-source peut rendre la recherche de vulnérabilités moins efficace. À moins que la composition de SolarWinds NCM ne soit connue, une recherche par le nom du produit — Network Configuration Manager — ne pourra pas faire surface les vulnérabilités sous-jacentes de qs en raison des dépendances imbriquées (NCM inclut Log4Net qui, à son tour, inclut qs).
Ceci est le défi fondamental en matière de sécurité des logiciels avec une composition inconnue, et SBOM, au cœur, est une tentative de résoudre cela.
Dans la Partie 2 — Comment SBOM décompose et exprime des composants programmables pour évaluer avec précision sa conformité et ses risques de sécurité.
TABLE DES MATIÈRES