Chaque mois, une nouvelle vulnérabilité logicielle semble apparaître sur les réseaux sociaux, ce qui oblige les bureaux de programme open source et les équipes de sécurité à commencer à interroger leurs inventaires pour voir comment les composants FOSS qu’ils utilisent peuvent avoir un impact sur leurs organisations.
Souvent, ces informations ne sont pas disponibles dans un format cohérent au sein d’une organisation pour l’interrogation automatique et peuvent entraîner une quantité importante d’e-mails et d’efforts manuels. En échangeant des métadonnées logicielles dans un format standardisé de nomenclature logicielle (SBOM) entre les organisations, l’automatisation au sein d’une organisation devient plus simple, accélérant le processus de découverte et découvrant les risques afin que des mesures d’atténuation puissent être envisagées rapidement.
Au cours de la dernière année, nous avons également vu des normes comme OpenChain (ISO / CEI 5320: 2020) sont adoptés dans la chaîne d’approvisionnement. Les clients ont commencé à demander une nomenclature à leurs fournisseurs dans le cadre des négociations et des discussions contractuelles pour se conformer à la norme. OpenChain se concentre sur la garantie de disposer d’informations suffisantes pour la conformité des licences et, par conséquent, attend également des métadonnées pour les composants distribués. Une nomenclature logicielle peut être utilisée pour soutenir l’examen systématique et l’approbation des conditions de licence de chaque composant afin de clarifier les obligations et les restrictions applicables à la distribution du logiciel fourni et réduire les risques.
Kate Stewart, vice-présidente, Systèmes embarqués fiables, The Linux Foundation, animera un webinaire de mentorat gratuit intitulé Génération de la nomenclature du logiciel le jeudi 25 mars à 7 h 30 PST. Cette session travaillera sur les éléments minimaux inclus dans une nomenclature du logiciel et détaillera le raisonnement derrière pourquoi ces éléments sont inclus. Enregistrer, cliquez ici s’il vous plait.
Il existe de nombreuses façons de partager ces métadonnées logicielles. Les options de format de document SBOM courantes (SPDX, SWID, et CycloneDX) sera revu afin que les participants puissent mieux comprendre ce qui est disponible pour ceux qui débutent.
Cette session de mentorat fonctionnera à travers quelques exemples simples, puis vous guidera où trouver le prochain niveau de détails et d’autres références.
À la fin de cette session, les participants seront sur une base sûre et sur la voie de la génération automatisée de SBOM dans le cadre de leurs processus de construction et de publication à l’avenir.
La poste Génération d’une nomenclature logicielle (SBOM) avec des normes et des outils Open Source est apparu en premier le Fondation Linux.