La Fondation Linux a récemment publié des résultats sur L’état de la nomenclature logicielle (SBOM) et la préparation à la cybersécuritémenée fin 2021. Jason Perlow, directeur éditorial de LF, s’est entretenu avec Stephen Hendrick, vice-président de la recherche, qui a dirigé l’étude empirique et l’analyse quantitative pour comprendre dans quelle mesure le monde mettait en œuvre les normes de cybersécurité et quelles mesures doivent être prises à présent.

JP: Pour ceux qui découvrent les SBOM, quels sont-ils ? Pouvez-vous déballer le concept pour le débutant absolu ?

SH : Une bonne analogie pour cela serait lorsque vous allez au supermarché et achetez des produits alimentaires. Parce que nous avons une Food and Drug Administration aux États-Unis, les fabricants de produits alimentaires doivent respecter les réglementations en matière d’emballage et d’étiquetage des aliments. Dans notre plus récent webinaire que nous avons organisé le 1er févrierun de nos panélistes, Allan Friedmanna illustré cet exemple avec un Twinkie gâteau snack assis sur son étagère.

Un Twinkie a une liste d’ingrédients imprimée dessus, plus de 35 en tout si vous regardez l’étiquette de la nourriture sur le site Web de l’hôtesse. Maintenant, imaginez si vous étiez allergique à l’un de ces ingrédients, comme les œufs ou l’une des farines. Ou, si vous étiez végétarien, le Twinkie contient de la graisse de bœuf (suif).

Vous voudriez savoir ces choses, n’est-ce pas ?

Publicité

Il en va de même pour les logiciels qui peuvent être exécutés dans votre entreprise – en fonction de leurs « ingrédients », composants ou packages utilisés pour constituer la composition logicielle de ces environnements ; un SBOM peut vous indiquer lesquels de ces composants que vous exécutez peuvent présenter des vulnérabilités que votre organisation devra peut-être corriger.

JP: Alors, ce que beaucoup de gens veulent savoir, c’est pourquoi nous soucions-nous des SBOM ? Quel est le contexte des SBOM en ce qui concerne les chaînes d’approvisionnement logicielles, sur quoi la Fondation Linux fait-elle des recherches et pourquoi tout cela se passe-t-il maintenant ?

SH : La cybersécurité est au cœur des préoccupations des gouvernements, des entreprises et de la communauté open source. Pour cette raison, la recherche sur ce sujet était une priorité absolue pour la Fondation Linux. Une grande partie de l’intérêt pour les SBOM en particulier a été motivé par l’attaque de la chaîne d’approvisionnement logicielle SolarWinds de 2020 et même avant le décret exécutif américain sur la cybersécurité. L’OE a spécifiquement nommé SBOM comme une recommandation pour améliorer la cybersécurité. L’apache Log4j la vulnérabilité a été révélée à la fin de l’année dernière, accélérant encore l’intérêt pour les SBOM.

Au cours des derniers mois, la Linux Foundation a interrogé les entreprises et a déterminé quantitativement leur sentiment sur les SBOM et leur niveau d’adoption, de maturité et de progrès. Nous avons maintenant ces résultats.

JP : Je comprends qu’un SBOM vous indique quels composants se trouvent dans un progiciel, qu’il soit open source ou fermé. Comment les SBOM ont-elles commencé en tant qu’initiative open source, et pourquoi la communauté open source a-t-elle été à l’avant-garde de cette poussée pour la transparence de la chaîne d’approvisionnement ?

SH : Au début de l’adoption de l’open source par les entreprises, les entreprises se préoccupaient de l’octroi de licences et de la garantie d’une conformité appropriée des licences. C’était un effort open source à l’époque, principalement parce qu’ils étaient exposés à ces licences open source qui ne provenaient pas des processus d’approvisionnement traditionnels. Ainsi, la communauté open source a adopté le concept SBOM pour fournir une transparence sur les composants utilisés dans un package et les licences qui leur sont attachées.

Au fil du temps, cependant, l’ouverture qu’offre un SBOM est devenue utile dans d’autres contextes. Une organisation qui a besoin de SBOM est probablement en avance sur le jeu lorsqu’une nouvelle vulnérabilité de sécurité apparaît. Log4j a fait la une des journaux, mais imaginez que vous êtes une organisation avec des dizaines ou des centaines de milliers de serveurs, et comment trouvez-vous et corrigez-vous toutes les instances de log4j ? Les SBOM vous permettent de le faire beaucoup plus facilement.

JP : Il y a eu une réponse mondiale à cette enquête, avec 98 % des organisations exprimant des inquiétudes quant à la sécurité de leurs logiciels. Pratiquement toutes ces organisations envisagent de mettre en œuvre des changements dans leurs environnements, y compris l’adoption de SBOM. Vous attendiez-vous à ce genre de réponse drastique avant d’examiner les données ?

SH: Il s’agissait d’une enquête mondiale et multilingue, et à ce titre, nous avons reçu des enquêtes complétées par 412 informateurs seniors du monde entier. Au total, 44 % des répondants venaient des Amériques, 39 % de la région EMEA (Europe, Moyen-Orient et Afrique) et 17 % de l’Asie-Pacifique (Inde, Chine, Russie, Japon et Australie).

Étant donné que cette enquête portait sur la cybersécurité et les SBOM, l’une des premières questions que nous avons posées était de savoir dans quelle mesure l’organisation du répondant était préoccupée par la sécurité des logiciels qu’elle utilise.

Nous avons observé à partir des données que les Amériques et l’EMEA affichent une répartition des préoccupations qui culmine à 49 % pour les Amériques et 55 % pour l’EMEA étant « très préoccupés ». Dans le monde, 98 % des organisations sont préoccupées par la cybersécurité.

L’Union européenne (UE) a considérablement augmenté son empreinte en matière de cybersécurité au cours de la dernière décennie avec l’introduction du règlement général sur la protection des données (RGPD) en 2014 et est devenu exécutoire en 2016 – cela a engendré des efforts avec le NIS Directive sur la sécurité des réseaux et des systèmes d’information et la loi sur la cybersécurité de l’UE en 2019, donc cela se prépare en dehors de notre pays depuis un certain temps.

En Asie, la répartition des préoccupations globales en matière de cybersécurité est très différente de celle des Amériques ou de l’EMEA. Les inquiétudes en matière de sécurité en Asie-Pacifique augmentent progressivement, avec 15 % « légèrement préoccupés », 18 % « préoccupés », 31 % « très préoccupés » et 35 % « extrêmement préoccupés ». Près de deux fois plus d’organisations dans la région Asie-Pacifique sont « extrêmement concernées » que dans la région EMEA, et 67 % de plus que dans les Amériques. La raison pour laquelle l’angoisse liée à la sécurité des logiciels est plus élevée dans la région Asie-Pacifique est expliquée tout au long du rapport. En résumé, il semble que les organisations de la région Asie-Pacifique aient moins investi jusqu’à présent dans les rôles, les fonctions et les activités liés à la sécurité, alors elles essaient maintenant de rattraper leur retard.

JP : Dans le rapport, vous passez pas mal de temps à parler des activités organisationnelles et des plans d’adoption du SBOM. Pourriez-vous résumer ce que vous avez trouvé ?

SH : J’ai passé trente ans en tant qu’analyste industriel axé sur le développement et le déploiement d’applications. Au cours de ces années, je n’ai jamais entendu le terme SBOM. Lors de la conception de cette enquête, je craignais qu’il ne soit difficile de trouver une grande utilisation des outils SBOM en production. Pour résoudre ce problème, l’enquête contenait des questions sur la familiarité, la préparation et l’utilisation des outils SBOM pour la production et la consommation de SBOM.

J’ai été surpris de constater que 47 % des organisations produisaient ou consommaient des SBOM en 2021. Dans de nombreux cas, cela impliquait d’utiliser des SBOM dans quelques ou certains segments de leur activité. Mais un nombre surprenant d’organisations utilisaient les SBOM dans presque tous leurs secteurs d’activité ou avaient mis en œuvre les SBOMS comme norme organisationnelle. Il était également intéressant de voir que 41 % des organisations prévoient d’utiliser les SBOM à partir de 2022 ou 2023. Cela nous a permis de prévoir la croissance organisationnelle des SBOM.

D’ici 2022, la croissance organisationnelle des SBOM sera de 66 %, augmentant la pénétration des SBOM dans les organisations de 47 % à 78 %. La croissance diminuera à 13 % en 2023, mais entraînera toujours une augmentation de la pénétration à 88 %. Cela signifie que 2022 sera l’année du SBOM. Cela signifie également que 2022 sera une excellente année pour les fournisseurs vendant des outils de production et de consommation SBOM.

JP : Compte tenu de la croissance incroyable qui pourrait avoir lieu en 2022, quels avantages les organisations s’attendent-elles à voir de leur utilisation croissante des SBOM ?

SH : L’utilisation des SBOM présente de nombreux avantages. Concentrons-nous sur la consommation des SBOM, car c’est ce que feront la plupart des organisations d’utilisateurs finaux. Dans l’ensemble, 53 % des organisations ont déclaré que le principal avantage viendrait de la capacité des SBOM à fournir des informations sur les composants pour répondre à leurs besoins en matière de conformité et de reporting.

Dans le même temps, 53 % des organisations ont également déclaré que les SBOM fournissent des informations pour prendre de meilleures décisions concernant les risques. Une autre caractéristique des SBOM est leur capacité à se lier à des registres qui identifient les vulnérabilités connues des composants. C’est également pourquoi le troisième avantage répertorié ici à 49 % est la capacité de comprendre les vulnérabilités des nouveaux composants et si l’organisation est à risque.

Le graphique ci-dessus est également segmenté par la maturité des organisations dans leur utilisation des SBOM. C’est là que les innovateurs SBOM aident à identifier les meilleures pratiques, car ils ont une expérience beaucoup plus approfondie de l’utilisation des SBOM et sont mieux placés pour fournir une perspective expérimentée.

JP : Bien qu’il semble que les organisations soient claires sur les avantages de l’adoption de SBOM, il semble également qu’un grand nombre d’entre elles s’inquiètent de l’engagement de l’industrie envers elles dans leur ensemble. Pourquoi pensez-vous que c’est comme ça? Pensez-vous que cela a à voir avec un manque perçu de norme établie ou un manque de conseils et de meilleures pratiques pour ce qu’ils doivent contenir, dans l’ensemble ? Comment surmonter ce problème de confiance de l’industrie dans les SBOM, étant donné qu’il semble y avoir une forte implication opérationnelle de la part des organisations dans leur ensemble ?

SH : La première chose à reconnaître est que les SBOM sont censés être échangés entre les participants de la chaîne d’approvisionnement, et les chaînes d’approvisionnement en logiciels sont mondiales. Nous devons voir les industries adopter des normes que la communauté internationale a formellement révisées pour que la confiance émerge. C’est pourquoi SPDX, après 8 ans d’être une norme de facto, a entrepris l’étape de passer par le processus de révision pour devenir une norme approuvée par l’ISO. Il a été transmis à l’ISO après avoir intégré les orientations issues du processus multipartite de la NTIA sur les éléments minimaux d’un SBOM.

Étant donné que la plupart des logiciels d’aujourd’hui sont basés sur l’open source, cela permet aux écosystèmes open source de générer facilement des SBOM pour leurs parties, supprime une partie de l’ascenseur pour les organisations et ajoute les parties qu’ils modifient. Tout un écosystème de développement de logiciels doit s’adapter, pas seulement les entreprises qui expédient des produits, ce qui prendra du temps.

JP : Merci, Steve, c’était très instructif.


Rate this post
Publicité
Article précédentComment réparer un écran d’iPhone qui ne répond pas au toucher
Article suivantPrédictions de prix décentralisées : où ira MANA après le pic du métaverse ?
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici