La National Telecommunications and Information Administration (NTIA) a récemment demandé un large retour d’informations pour définir une nomenclature logicielle minimale (SBOM). Il s’articulait autour d’une seule question simple (« Qu’est-ce qu’un SBOM ? ») et constituait une étape incroyablement importante vers la sécurité logicielle et un moment important pour les normes ouvertes.

Extrait de la FAQ SBOM de la NTIA « Une nomenclature de logiciels (SBOM) est une liste complète et formellement structurée de composants, de bibliothèques et de modules nécessaires pour créer (c’est-à-dire compiler et lier) un logiciel donné et les relations de la chaîne d’approvisionnement entre eux . Ces composants peuvent être open source ou propriétaires, gratuits ou payants, et largement disponibles ou à accès restreint. Les SBOM qui peuvent être partagés sans friction entre les équipes et les entreprises sont au cœur de la gestion des logiciels pour les industries critiques et les infrastructures numériques dans les décennies à venir.

La norme internationale ISO pour la conformité des licences open source (ISO/IEC 5230:2020 – Technologies de l’information — Spécification OpenChain) nécessite un processus de gestion d’une nomenclature pour le logiciel fourni. Cela s’aligne sur les objectifs de la NTIA pour une transparence accrue des logiciels et illustre comment l’industrie mondiale relève les défis dans cet espace. Par exemple, il est devenu une bonne pratique d’inclure un SBOM pour tous les composants dans le logiciel fourni, plutôt que d’isoler ces matériaux en open source.

La communauté open source a identifié le besoin et a commencé à relever le défi de la « liste d’ingrédients » SBOM il y a plus de dix ans. La norme de facto de l’industrie, et l’approche la plus largement utilisée aujourd’hui, est appelée Software Package Data Exchange (SPDX). Tous les éléments de la définition minimale de SBOM proposée par la NTIA peuvent être traités par SPDX aujourd’hui, ainsi que des cas d’utilisation plus larges.

SPDX a évolué de manière organique au cours de la dernière décennie pour s’adapter à l’industrie du logiciel, couvrant des problèmes tels que la conformité des licences, la sécurité, etc. La communauté se compose de centaines de personnes provenant de centaines d’entreprises, et la norme elle-même est la SBOM la plus robuste, la plus mature et la plus adoptée sur le marché aujourd’hui.

Publicité

La spécification SPDX complète n’est qu’une partie de l’image. Des composants en option tels que SPDX Lite, développé par Pioneer, Sony, Hitachi, Renesas et Fujitsu, entre autres, fournissent un sous-ensemble SBOM ciblé pour une utilisation par les petits fournisseurs. La nature de l’approche communautaire derrière SPDX permet de traiter les cas d’utilisation pratiques au fur et à mesure qu’ils se présentent.

En 2020, SPDX a été soumis à l’ISO via le processus PAS Transposition du Joint Technical Committee 1 (JTC1) en collaboration avec la Joint Development Foundation. Il est actuellement en phase d’approbation du processus de transposition et peut être consulté sur le site Web de l’ISO en tant que ISO/CEI PRF 5962.

La Linux Foundation a préparé une soumission pour la NTIA mettant en évidence les connaissances et l’expérience acquises lors du déploiement et de l’utilisation pratiques de SBOM dans les communautés SPDX et OpenChain. Il s’agit notamment d’isoler l’utilité d’actions spécifiques telles que le suivi des horodatages et d’inclure les licences de données dans les métadonnées. Avec le soutien de nombreuses parties de l’industrie technologique mondiale, les spécifications SPDX et OpenChain évoluent constamment pour prendre en charge toutes les parties prenantes.

Table des matières hide
1 Commentaires de l’industrie
2 Les références:

Commentaires de l’industrie

L’équipe Sony utilise diverses approches pour gérer la conformité et la gouvernance open source… Un exemple est l’utilisation d’une feuille de modèle de gestion OSS basée sur SPDX Lite, un sous-ensemble compact de la norme SPDX. Les équipes doivent être en mesure d’examiner rapidement le type, la version et les exigences du logiciel, et l’utilisation d’une norme claire est un élément clé de ce processus.

Hisashi Tamai, SVP, Sony Group Corporation, représentant du comité de stratégie logicielle

« Intel a été l’un des premiers participants au développement de la spécification SPDX et utilise SPDX, ainsi que d’autres approches, à la fois internes et externes pour un certain nombre de cas d’utilisation de logiciels open source.

Melissa Evers, Vice-Président – ​​Intel Architecture, Graphics, Software / General Manager – Software Business Strategy

La norme d’entreprise Scania 4589 (STD 4589) vient d’être mise à la disposition de nos fournisseurs et définit les attentes que nous avons lorsque l’Open Source fait partie d’une livraison à Scania. Alors, que demandons-nous dans une relation avec nos fournisseurs en matière d’Open Source ?

1) Que les fournisseurs se conforment à ISO/IEC 5230:2020 (OpenChain). Si un fournisseur se conforme à cette spécification, nous sommes convaincus qu’il dispose d’un programme de gestion professionnel pour l’Open Source.

2) Si dans le processus de développement d’une solution pour Scania, un fournisseur apporte des modifications à des composants Open Source, nous aimerions que ces modifications contribuent au projet Open Source.

3) Fournir une nomenclature au format ISO/IEC DIS 5962 (SPDX), plus le code source lorsqu’il y a obligation de proposer le code source directement, nous n’avons donc pas besoin de le demander.

Jonas Öberg, responsable Open Source – Scania (Groupe Volkswagen)

Le format SPDX facilite grandement le partage des données des composants logiciels tout au long de la chaîne d’approvisionnement. Wind River a fourni une nomenclature logicielle (SBOM) à ses clients en utilisant le format SPDX au cours des huit dernières années. Souvent, les clients demandent des données SBOM dans un format personnalisé. La standardisation sur SPDX nous a permis de fournir un SBOM de meilleure qualité à moindre coût.

Mark Gisi, directeur du bureau du programme Open Source de Wind River et président de la spécification OpenChain

L’équipe Black Duck de Synopsys est impliquée dans SPDX depuis sa création, et j’ai eu le plaisir de coordonner les activités de la direction du projet pendant plus d’une décennie. En outre, des représentants de dizaines d’entreprises ont contribué à l’important travail de développement d’une méthode standard de description et de communication du contenu d’un progiciel.

Phil Odence, directeur général, Audits de canard noir, Synopsys

Avec l’intérêt croissant pour les types de risques liés à la chaîne d’approvisionnement qu’une nomenclature logicielle aide à traiter, SPDX gagne en attention et en urgence. FossID (qui fait maintenant partie de Snyk) utilise SPDX depuis le début dans le cadre de l’analyse des composants logiciels et des audits de licence open source. Snyk intensifie également son implication, contribuant déjà aux efforts visant à étendre les cas d’utilisation de SPDX en créant des outils pour tester le projet de travail sur les profils de vulnérabilité dans SPDX v3.0.

Gareth Rushgrove, vice-président des produits, Snyk

Pour plus d’informations sur OpenChain : https://www.openchainproject.org/

Pour plus d’informations sur SPDX : https://spdx.dev/

Les références:

La poste Qu’est-ce qu’un SBOM ? est apparu en premier sur Fondation Linux.

Rate this post
Publicité
Article précédentBattlefield 2042 mettra les bots dans les matchs s’ils ne se remplissent pas de personnes
Article suivantLe ministre propose l’île de Kish comme centre d’échange cryptographique
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici