Le besoin de SBOM — Partie 2

Écrire des logiciels ou des composants logiciels depuis zéro est rare dans le développement logiciel moderne. Des bibliothèques et des frameworks préexistants fournissent la base pour développer de nouvelles fonctionnalités, et ce nouveau produit peut devenir la base d'un autre produit.

Cependant, cette superposition de logiciels et de composants peut créer des angles morts pour le développeur et les consommateurs. Dans Partie-1, nous avons discuté de la manière dont la superposition crée un défi pour identifier les vulnérabilités de type zero-day (expérimentées dans le monde entier avec log4shell).

D'autres risques sont associés aux logiciels de composition inconnue, notamment :

• le risque d'inclure des composants avec une licence restrictive

• des composants en fin de vie, ou

• des composants influencés par des acteurs étatiques.

La fabrication a traité des préoccupations similaires dans la gestion de la chaîne d'approvisionnement et de l'inventaire en construisant des Bill of Materials (BOM), la gestion de l'obsolescence, la notification de changement de produit (PCN) et la gestion de la fin de vie (EOL).

SBOM apporte ces apprentissages et pratiques au développement logiciel.

‍