Software Bill of Materials (SBOM)
Qu'est-ce que Software Bill of Materials (SBOM) ?
Software Bill of Materials (SBOM)Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations.
Un SBOM est au logiciel ce que la liste d'ingrédients est à un produit alimentaire emballé. Il énumère composants open source et propriétaires, dépendances transitives, versions, fournisseurs, licences et souvent empreintes cryptographiques. Les standards courants sont CycloneDX, SPDX et SWID. Les SBOM permettent la gestion des vulnérabilités (rapprocher CVE et KEV des logiciels déployés), la conformité de licences, la réponse à incident ("sommes-nous affectés par Log4Shell ?") et la due diligence achats. Les régulateurs - décret 14028 aux États-Unis, Cyber Resilience Act dans l'UE, recommandations ENISA - exigent de plus en plus un SBOM pour les logiciels livrés à l'État ou aux secteurs critiques. Les programmes modernes génèrent les SBOM dans le CI/CD et les signent ou les attestent aux côtés des builds.
● Exemples
- 01
SBOM CycloneDX généré à chaque build et envoyé dans une instance dependency-track.
- 02
Clause d'échange de SBOM dans un contrat d'achat de SaaS régulé.
● Questions fréquentes
Qu'est-ce que Software Bill of Materials (SBOM) ?
Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Software Bill of Materials (SBOM) ?
Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations.
Comment fonctionne Software Bill of Materials (SBOM) ?
Un SBOM est au logiciel ce que la liste d'ingrédients est à un produit alimentaire emballé. Il énumère composants open source et propriétaires, dépendances transitives, versions, fournisseurs, licences et souvent empreintes cryptographiques. Les standards courants sont CycloneDX, SPDX et SWID. Les SBOM permettent la gestion des vulnérabilités (rapprocher CVE et KEV des logiciels déployés), la conformité de licences, la réponse à incident ("sommes-nous affectés par Log4Shell ?") et la due diligence achats. Les régulateurs - décret 14028 aux États-Unis, Cyber Resilience Act dans l'UE, recommandations ENISA - exigent de plus en plus un SBOM pour les logiciels livrés à l'État ou aux secteurs critiques. Les programmes modernes génèrent les SBOM dans le CI/CD et les signent ou les attestent aux côtés des builds.
Comment se défendre contre Software Bill of Materials (SBOM) ?
Les défenses contre Software Bill of Materials (SBOM) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Software Bill of Materials (SBOM) ?
Noms alternatifs courants : SBOM, Inventaire de composants logiciels.
● Termes liés
- appsec№ 1069
Sécurité de la chaîne d'approvisionnement logicielle
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
- appsec№ 245
Cryptographic Bill of Materials (CBOM)
Inventaire de tous les actifs cryptographiques utilisés par un logiciel ou un système - algorithmes, tailles de clé, certificats, bibliothèques, protocoles - au service de l'agilité cryptographique et de la préparation post-quantique.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement.
- appsec№ 870
Attestation de provenance
Déclaration signée et vérifiable par machine décrivant comment un artefact logiciel a été produit - source, système de build, paramètres, dépendances - pour que les consommateurs aient confiance en son origine.
- appsec№ 971
SCA (Software Composition Analysis)
Analyse automatisée des composants open source et tiers d'une application pour identifier les vulnérabilités connues, les problèmes de licence et les dépendances obsolètes ou risquées.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
● Voir aussi
- № 025AI Bill of Materials (AIBOM)
- № 522in-toto