Sécurité de la chaîne d'approvisionnement logicielle
Qu'est-ce que Sécurité de la chaîne d'approvisionnement logicielle ?
Sécurité de la chaîne d'approvisionnement logicielleDiscipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
La sécurité de la chaîne d'approvisionnement logicielle considère le code comme un produit assemblé à partir de multiples sources plutôt qu'écrit de zéro. Elle couvre la protection des dépôts, l'identité des développeurs, un CI/CD sécurisé, la curation des dépendances, la production de SBOM et de CBOM, la signature et la vérification (Sigstore, Cosign, in-toto), la provenance signée façon SLSA, la gestion des vulnérabilités, des secrets et l'application de politiques au déploiement. Elle a émergé après SolarWinds, Codecov, Log4Shell, XZ Utils et les campagnes de dependency confusion. Référentiels : SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, décret 14028 aux États-Unis, Cyber Resilience Act dans l'UE - tous convergent vers des pipelines signés, vérifiables et transparents.
● Exemples
- 01
Pipeline signé de bout en bout avec provenance SLSA L3 et déploiements vérifiés par Cosign.
- 02
Proxy interne de paquets curés couplé à une réponse aux vulnérabilités pilotée par les SBOM.
● Questions fréquentes
Qu'est-ce que Sécurité de la chaîne d'approvisionnement logicielle ?
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Sécurité de la chaîne d'approvisionnement logicielle ?
Discipline qui protège chaque maillon de la chaîne de production logicielle - source, dépendances, build, signature, distribution et déploiement - contre les manipulations, le code malveillant et la perte d'intégrité.
Comment se défendre contre Sécurité de la chaîne d'approvisionnement logicielle ?
Les défenses contre Sécurité de la chaîne d'approvisionnement logicielle combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Sécurité de la chaîne d'approvisionnement logicielle ?
Noms alternatifs courants : Sécurité de la supply chain logicielle.