Sécurité de la chaîne d'approvisionnement logicielle
Qu'est-ce que Sécurité de la chaîne d'approvisionnement logicielle ?
Sécurité de la chaîne d'approvisionnement logicielleDiscipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
La sécurité de la chaîne d'approvisionnement logicielle considère le code comme un produit assemblé à partir de multiples sources plutôt qu'écrit de zéro. Elle couvre la protection des dépôts, l'identité des développeurs, un CI/CD sécurisé, la curation des dépendances, la production de SBOM et de CBOM, la signature et la vérification (Sigstore, Cosign, in-toto), la provenance signée façon SLSA, la gestion des vulnérabilités, des secrets et l'application de politiques au déploiement. Elle a émergé après SolarWinds, Codecov, Log4Shell, XZ Utils et les campagnes de dependency confusion. Référentiels : SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, décret 14028 aux États-Unis, Cyber Resilience Act dans l'UE - tous convergent vers des pipelines signés, vérifiables et transparents.
● Exemples
- 01
Pipeline signé de bout en bout avec provenance SLSA L3 et déploiements vérifiés par Cosign.
- 02
Proxy interne de paquets curés couplé à une réponse aux vulnérabilités pilotée par les SBOM.
● Questions fréquentes
Qu'est-ce que Sécurité de la chaîne d'approvisionnement logicielle ?
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Sécurité de la chaîne d'approvisionnement logicielle ?
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
Comment fonctionne Sécurité de la chaîne d'approvisionnement logicielle ?
La sécurité de la chaîne d'approvisionnement logicielle considère le code comme un produit assemblé à partir de multiples sources plutôt qu'écrit de zéro. Elle couvre la protection des dépôts, l'identité des développeurs, un CI/CD sécurisé, la curation des dépendances, la production de SBOM et de CBOM, la signature et la vérification (Sigstore, Cosign, in-toto), la provenance signée façon SLSA, la gestion des vulnérabilités, des secrets et l'application de politiques au déploiement. Elle a émergé après SolarWinds, Codecov, Log4Shell, XZ Utils et les campagnes de dependency confusion. Référentiels : SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, décret 14028 aux États-Unis, Cyber Resilience Act dans l'UE - tous convergent vers des pipelines signés, vérifiables et transparents.
Comment se défendre contre Sécurité de la chaîne d'approvisionnement logicielle ?
Les défenses contre Sécurité de la chaîne d'approvisionnement logicielle combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sécurité de la chaîne d'approvisionnement logicielle ?
Noms alternatifs courants : Sécurité de la supply chain logicielle.
● Termes liés
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts : ensemble d'exigences à paliers publié par l'OpenSSF qui durcit progressivement la façon de construire, signer et vérifier les logiciels face aux manipulations de la chaîne d'approvisionnement.
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventaire formel, lisible par machine, des composants, bibliothèques et dépendances qui composent un logiciel, avec leurs versions et relations.
- appsec№ 1044
Sigstore
Projet open source de la Linux Foundation qui facilite la signature, la vérification et la protection des artefacts logiciels en combinant clés éphémères, identités OIDC et journal de transparence.
- appsec№ 166
Sécurité CI/CD
Ensemble de contrôles qui protègent les pipelines d'intégration et de livraison continues contre la compromission, l'injection de code, la fuite de secrets et les déploiements non autorisés.
- appsec№ 870
Attestation de provenance
Déclaration signée et vérifiable par machine décrivant comment un artefact logiciel a été produit - source, système de build, paramètres, dépendances - pour que les consommateurs aient confiance en son origine.