De nouvelles données de la Linux Foundation mesurent les progrès et l’adoption de SBOM pour répondre aux problèmes de cybersécurité
SAN FRANCISCO, Californie, – 1er février 2022 – La Fondation Linux, l’organisation à but non lucratif permettant l’innovation de masse grâce à l’open source, en partenariat avec OpenSSF, SPDX et OpenChain, a annoncé aujourd’hui la disponibilité du premier d’une série de projets de recherche pour comprendre les défis et les opportunités de sécurisation des chaînes d’approvisionnement logicielles. « L’état de la nomenclature des logiciels et de la préparation à la cybersécurité » rend compte de l’étendue de la préparation et de l’adoption de la SBOM organisationnelle liée aux efforts de cybersécurité. L’étude fait suite au décret exécutif de l’administration américaine sur l’amélioration de la cybersécurité de la nation et au récent sommet sur la sécurité open source de la Maison Blanche. Son timing coïncide avec une reconnaissance croissante à travers le monde de l’importance d’identifier les composants logiciels et d’aider à accélérer la réponse aux vulnérabilités logicielles nouvellement découvertes.
« Les SBOM ne sont plus facultatifs. Notre équipe de recherche de la Linux Foundation a révélé que 78 % des organisations prévoient de produire ou de consommer des SBOM en 2022 », a déclaré Jim Zemlin, directeur exécutif de la Linux Foundation. « Les entreprises qui accélèrent l’adoption de SBOM suite à la publication de la nouvelle norme ISO (5962) ou du décret exécutif de la Maison Blanche améliorent non seulement la qualité de leurs logiciels, elles se préparent mieux à contrecarrer les attaques contradictoires suite à de nouvelles divulgations de vulnérabilités open source comme celles-ci. lié à log4j.
Un SBOM est une métadonnée formelle et lisible par machine qui identifie de manière unique un composant logiciel et son contenu ; il peut également inclure des données de copyright et de licence. Les SBOM sont conçues pour être partagées entre les organisations et sont particulièrement utiles pour assurer la transparence des composants fournis par les participants à une chaîne d’approvisionnement logicielle. De nombreuses organisations soucieuses de la sécurité des applications font des SBOM la pierre angulaire de leur stratégie de cybersécurité.
Les principales conclusions des participants à l’enquête analysées pour le rapport comprennent :
82 % connaissent le terme Software Bill of Materials (SBOM) 76 % sont activement engagés dans la réponse aux besoins de SBOM 47 % produisent ou consomment des SBOM 78 % des organisations prévoient de produire ou de consommer des SBOM en 2022, en hausse de 66 % par rapport à l’année précédente
Les participants à l’enquête ont également révélé leurs trois principaux avantages pour la production de SBOM :
51 % déclarent qu’il est plus facile pour les développeurs de comprendre les dépendances entre les composants d’une application. 49 % déclarent qu’il est plus facile de surveiller les composants pour les vulnérabilités.
Les chercheurs de la Linux Foundation ont également révélé qu’un consensus supplémentaire de l’industrie et une politique gouvernementale contribueront à favoriser l’adoption et la mise en œuvre de SBOM. Les chercheurs ont noté :
62 % recherchent un meilleur consensus de l’industrie sur la manière d’intégrer la production/consommation de SBOM dans leurs pratiques DevOps. 58 % souhaitent un consensus sur l’intégration des SBOM dans leurs processus de gestion des risques et de conformité. 53 % souhaitent un meilleur consensus de l’industrie sur la façon dont les SBOM vont évoluer et s’améliorer80 % des organisations dans le monde sont au courant du décret exécutif de la Maison Blanche sur l’amélioration de la cybersécurité 76 % envisagent des changements comme conséquence directe du décret exécutif
Enfin, les participants à la recherche ont révélé leurs principaux attributs utilisés pour hiérarchiser les composants logiciels open source qui seraient utilisés par les développeurs : la sécurité en tête, suivie de la conformité des licences.
Linux Foundation Research a mené cette recherche empirique mondiale sur la préparation et l’adoption des SBOM organisationnels au troisième trimestre 2021. Au total, 412 organisations du monde entier ont participé à l’enquête de 65 questions. Le rapport est rédigé par Stephen Hendrick, vice-président de la recherche à la Linux Foundation. La Fondation Linux a également donné la priorité à la recherche pour aider à la compréhension collective de l’étendue des défis de la cybersécurité avec le premier d’une série de projets de recherche de base pour explorer les questions importantes liées à la mise en œuvre des meilleures pratiques de cybersécurité et à l’adoption des normes, en commençant par cette étude de préparation SBOM.
La Fondation Linux prend en charge de nombreux programmes open source SBOM et liés à la sécurité, notamment Fondation de sécurité open source (OpenSSF), SPDX (ISO/CEI 5962), magasin de signatures, Chiffrez, in-toto, Le cadre de mise à jour (TUF), Uptaneet Chaîne ouverte (ISO 5230).
Ressources additionnelles
Télécharger le rapport State of Software Bill of Materials and Cybersecurity ReadinessAssister à notre webinaire Comprendre le rôle de la nomenclature logicielle dans la préparation à la cybersécurité le mardi 1er févrierRejoindre l’un des six groupes de travail OpenSSF pour aider à améliorer la sécurité open sourceLire à propos de SPDX en tant que norme ISO pour les SBOMAccéder à une formation gratuite sur la génération d’une nomenclature de logiciel libreObtenir une certification en tant que professionnel du développement de logiciels sécurisés
À propos de la Fondation Linux
Fondée en 2000, la Linux Foundation et ses projets sont soutenus par plus de 1 800 membres. La Fondation Linux est le principal foyer mondial de collaboration sur les logiciels open source, les normes ouvertes, les données ouvertes et le matériel ouvert. Les projets de la Linux Foundation sont essentiels à l’infrastructure mondiale, notamment Linux, Kubernetes, Node.js, Hyperledger, RISC-V, etc. La méthodologie de la Linux Foundation se concentre sur l’exploitation des meilleures pratiques et la réponse aux besoins des contributeurs, des utilisateurs et des fournisseurs de solutions pour créer des modèles durables de collaboration ouverte. Pour plus d’informations, rendez-vous sur linuxfoundation.org.
###
La Fondation Linux a des marques déposées et utilise des marques. Pour une liste des marques déposées de The Linux Foundation, veuillez consulter sa page d’utilisation des marques : www.linuxfoundation.org/trademark-usage. Linux est une marque déposée de Linus Torvalds.
Personnes-ressources pour les médias
Jennifer Cloer
503-867-2304
jennifer@storychangesculture.com
La poste La Linux Foundation publie l’état de la nomenclature des logiciels (SBOM) et la recherche sur la préparation à la cybersécurité est apparu en premier sur Fondation Linux.