Cryptographic Bill of Materials (CBOM)
Qu'est-ce que Cryptographic Bill of Materials (CBOM) ?
Cryptographic Bill of Materials (CBOM)Inventaire de tous les actifs cryptographiques utilisés par un logiciel ou un système - algorithmes, tailles de clé, certificats, bibliothèques, protocoles - au service de l'agilité cryptographique et de la préparation post-quantique.
Le CBOM étend la logique du SBOM à la cryptographie. Il consigne les algorithmes (RSA-2048, AES-256-GCM, SHA-256), modes, paramètres, cycle de vie des clés, certificats, bibliothèques (OpenSSL, BoringSSL) et protocoles (TLS 1.3, SSH, IKEv2), avec leur localisation et leur usage. Il aide à identifier les algorithmes faibles ou obsolètes, à planifier la migration post-quantique, à respecter les politiques cryptographiques nationales et à démontrer la diligence due aux régulateurs de la finance et des infrastructures critiques. Le groupe de travail OWASP CBOM et CycloneDX 1.6+ fournissent un format lisible par machine. Le CBOM devient indispensable à mesure que les gouvernements exigent des évaluations de préparation post-quantique et que les dépendances cryptographiques restent un vecteur fréquent de vulnérabilités de la chaîne logicielle.
● Exemples
- 01
CBOM CycloneDX identifiant toutes les dépendances RSA-1024 pour un plan de migration PQC.
- 02
CBOM produit lors d'un pentest pour pointer des suites de chiffrement obsolètes sur une plateforme de paiement.
● Questions fréquentes
Qu'est-ce que Cryptographic Bill of Materials (CBOM) ?
Inventaire de tous les actifs cryptographiques utilisés par un logiciel ou un système - algorithmes, tailles de clé, certificats, bibliothèques, protocoles - au service de l'agilité cryptographique et de la préparation post-quantique. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Cryptographic Bill of Materials (CBOM) ?
Inventaire de tous les actifs cryptographiques utilisés par un logiciel ou un système - algorithmes, tailles de clé, certificats, bibliothèques, protocoles - au service de l'agilité cryptographique et de la préparation post-quantique.
Comment fonctionne Cryptographic Bill of Materials (CBOM) ?
Le CBOM étend la logique du SBOM à la cryptographie. Il consigne les algorithmes (RSA-2048, AES-256-GCM, SHA-256), modes, paramètres, cycle de vie des clés, certificats, bibliothèques (OpenSSL, BoringSSL) et protocoles (TLS 1.3, SSH, IKEv2), avec leur localisation et leur usage. Il aide à identifier les algorithmes faibles ou obsolètes, à planifier la migration post-quantique, à respecter les politiques cryptographiques nationales et à démontrer la diligence due aux régulateurs de la finance et des infrastructures critiques. Le groupe de travail OWASP CBOM et CycloneDX 1.6+ fournissent un format lisible par machine. Le CBOM devient indispensable à mesure que les gouvernements exigent des évaluations de préparation post-quantique et que les dépendances cryptographiques restent un vecteur fréquent de vulnérabilités de la chaîne logicielle.
Comment se défendre contre Cryptographic Bill of Materials (CBOM) ?
Les défenses contre Cryptographic Bill of Materials (CBOM) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Cryptographic Bill of Materials (CBOM) ?
Noms alternatifs courants : CBOM, Inventaire cryptographique.
● Termes liés
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations.
- cryptography№ 846
Cryptographie post-quantique
Algorithmes cryptographiques classiques conçus pour rester sûrs face aux attaques d'ordinateurs classiques comme d'ordinateurs quantiques à grande échelle.
- cryptography№ 249
Cryptographie
Science qui protège l'information à l'aide de techniques mathématiques garantissant confidentialité, intégrité, authenticité et non-répudiation face à un adversaire.
- appsec№ 1069
Sécurité de la chaîne d'approvisionnement logicielle
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
- cryptography№ 172
Suite cryptographique
Combinaison nommée d'algorithmes — échange de clés, authentification, chiffrement, intégrité — négociée par des protocoles comme TLS pour une session donnée.
- network-security№ 1159
TLS (Transport Layer Security)
Protocole cryptographique standardisé par l'IETF qui fournit confidentialité, intégrité et authentification au trafic entre deux applications en réseau.