La Linux Foundation répond à la demande croissante de SBOM pouvant améliorer la sécurité de la chaîne d’approvisionnement

SAN FRANCISCO, le 17 juin 2021 – La Linux Foundation, l’organisation à but non lucratif permettant l’innovation de masse grâce à l’open source, a annoncé aujourd’hui de nouvelles recherches, formations et outils industriels – soutenus par la norme industrielle SPDX – pour accélérer l’utilisation d’une nomenclature logicielle (SBOM) dans le développement de logiciels sécurisés.

La Linux Foundation accélère l’adoption des pratiques SBOM pour sécuriser les chaînes d’approvisionnement logicielles avec :

Norme SBOM : gérer SPDX, la norme de facto pour les exigences et le partage de donnéesEnquête SBOM : mettre en évidence l’état actuel des pratiques de l’industrie pour établir des références et des meilleures pratiquesFormation SBOM : proposer un nouveau cours sur la génération d’une nomenclature logicielle pour accélérer l’adoption équipes de développement pour créer des SBOM pour leurs applications

« En tant qu’architectes de l’infrastructure numérique d’aujourd’hui, la communauté open source est en mesure de faire progresser la compréhension et l’adoption des SBOM dans les secteurs public et privé », a déclaré Mike Dolan, vice-président principal et directeur général des projets de la Fondation Linux. « L’augmentation des menaces de cybersécurité entraîne une nécessité que la communauté open source a anticipée il y a de nombreuses années pour normaliser la façon dont nous partageons ce qui se trouve dans nos logiciels. Le temps n’a jamais été aussi pressant de faire émerger de nouvelles données et d’offrir des ressources supplémentaires qui aident à mieux comprendre comment adopter et générer des SBOM, puis agir sur les informations.

Publicité

Quatre-vingt-dix pour cent (90 %) d’une application moderne sont assemblées à partir de composants logiciels open source. Un SBOM prend en compte les composants logiciels open source contenus dans une application qui détaille leurs attributs de qualité, de licence et de sécurité. Les SBOM sont utilisés pour garantir que les développeurs comprennent quels composants circulent dans leurs chaînes d’approvisionnement logicielles, identifient de manière proactive les problèmes et les risques et établissent un point de départ pour leur résolution.

Le récent décret présidentiel sur l’amélioration de la cybersécurité de la nation a fait référence à l’importance des SBOM dans la protection et la sécurisation de la chaîne d’approvisionnement des logiciels. L’Administration nationale des télécommunications et de l’information (NTIA) a suivi l’émission de cet arrêté en demandant un large retour d’expérience pour définir un SBOM minimum. La Linux Foundation a répondu à l’enquête SBOM de la NTIA ici, et le décret présidentiel ici.

SPDX : La norme industrielle ouverte De-Facto SBOM

SPDX – a Linux Foundation Project, est la norme ouverte de facto pour la communication d’informations SBOM, y compris les composants logiciels open source, les licences et les vulnérabilités de sécurité connues. SPDX a évolué de manière organique au cours des dix dernières années en collaborant avec des centaines d’entreprises, y compris les principaux fournisseurs d’analyse de composition logicielle (SCA), ce qui en fait la norme SBOM la plus robuste, la plus mature et la plus adoptée du marché.

Enquête sur l’état de préparation du SBOM

Linux Foundation Research mène le Enquête sur l’état de préparation du SBOM. Il examinera les obstacles à l’adoption des SBOM et les actions futures requises pour les surmonter en ce qui concerne la sécurité des chaînes d’approvisionnement logicielles. Le récent décret américain sur la cybersécurité met l’accent sur les SBOM, et cette enquête aidera à identifier les lacunes de l’industrie dans les applications SBOM. Les questions de l’enquête portent sur l’outillage, les mesures de sécurité et les industries leaders dans la production et la consommation de SBOM, entre autres sujets.

Nouveau cours : génération d’une nomenclature logicielle

La Fondation Linux est également annoncer une formation gratuite en ligne, Génération d’une nomenclature logicielle (LFC192). Ce cours fournit des connaissances de base sur les options et les outils disponibles pour générer des SBOM et comment les utiliser pour améliorer la capacité de répondre aux besoins de cybersécurité. Il est conçu pour les directeurs, les chefs de produits, le personnel du bureau des programmes open source, les professionnels de la sécurité et les développeurs des organisations qui créent des logiciels. Les participants repartiront avec la capacité d’identifier les éléments minimaux d’un SBOM, la manière dont ils peuvent être assemblés et une compréhension de certains des outils open source disponibles pour prendre en charge la génération et la consommation d’un SBOM.

Nouveaux outils : Générateur de SBOM

La disponibilité du Générateur SPDX SBOM, qui utilise une interface de ligne de commande (CLI) pour générer des informations SBOM, y compris les composants, les licences, les droits d’auteur et les références de sécurité de votre application à l’aide de la spécification SPDX v2.2 et en s’alignant sur les éléments minimaux connus actuels de la NTIA. Actuellement, la CLI prend en charge GoMod (go), Cargo (Rust), Composer (PHP), DotNet (.NET), Maven (Java), NPM (Node.js), Yarn (Node.js), PIP (Python), Pipenv (Python) et Gemmes (Ruby). Il est facilement intégrable dans des processus automatisés tels que les pipelines d’intégration continue (CI) et est disponible pour Windows, macOS et Linux.

Ressources supplémentaires

Qu’est-ce qu’un SBOM ?Construire un SBOM formationOutil SBOM et API gratuits

À propos de la Fondation Linux

Fondée en 2000, la Linux Foundation est soutenue par plus de 1 000 membres et est le leader mondial de la collaboration sur les logiciels open source, les normes ouvertes, les données ouvertes et le matériel ouvert. Les projets de la Linux Foundation sont essentiels à l’infrastructure mondiale, notamment Linux, Kubernetes, Node.js, etc. La méthodologie de la Linux Foundation se concentre sur l’exploitation des meilleures pratiques et sur la réponse aux besoins des contributeurs, des utilisateurs et des fournisseurs de solutions afin de créer des modèles durables pour une collaboration ouverte. Pour plus d’informations, veuillez nous rendre visite à linuxfoundation.org.

###

La Linux Foundation a des marques déposées et utilise des marques commerciales. Pour obtenir une liste des marques déposées de The Linux Foundation, veuillez consulter sa page d’utilisation des marques déposées : www.linuxfoundation.org/trademark-usage. Linux est une marque déposée de Linus Torvalds.

###

Contacts médias

Jennifer Cloer

pour la Fondation Linux

jennifer@storychangesculture.com

503-867-2304

La poste La Linux Foundation annonce la norme de l’industrie de la nomenclature logicielle (SBOM), la recherche, la formation et les outils pour améliorer les pratiques de cybersécurité est apparu en premier sur Fondation Linux.

Rate this post
Publicité
Article précédentVoici pourquoi #WTCwithCoindcx est à la mode
Article suivantOpinion: Pourquoi Fast & Furious: Tokyo Drift était le dernier bon film de la série
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici