Qu’est-ce qu’un SBOM (Software Bill of Materials) ?

Un Software Bill of Materials (SBOM) est un inventaire détaillé des composants qui composent un logiciel, y compris les bibliothèques tierces et open-source, ainsi que la version du framework. C’est comme une liste d’ingrédients à l’intérieur de l’application.

En suivant chaque composant à l’intérieur de l’application, l’équipe de développement peut rapidement détecter lorsque de nouvelles vulnérabilités sont découvertes.

Pourquoi le SBOM est important en cybersécurité

Les applications modernes sont construites en combinant des centaines ou des milliers de dépendances tierces et de bibliothèques open-source pour accélérer le développement. Si l’une d’elles présente des vulnérabilités, cela mettra toute l’application en danger.

Un SBOM aide l’équipe de développement à :

• Identifier les vulnérabilités plus tôt en cartographiant le composant affecté
• Améliorer la conformité avec des normes comme NIST, ISO, ou l’Executive Order 14028 aux États-Unis
• Améliorer la sécurité de la chaîne d’approvisionnement en assurant la transparence dans la composition logicielle
• Construire la confiance avec les clients et partenaires en montrant quels composants sont inclus

Éléments clés d’un SBOM

Un SBOM approprié inclut généralement :

• Nom du composant (par exemple, lodash)
• Version (par exemple, 4.17.21)
• Informations sur la licence (open source ou propriétaire)
• Fournisseur (projet ou vendeur qui le maintient)
• Relations (comment les composants dépendent les uns des autres)

Exemple en pratique : La violation Apache Struts (Equifax, 2017)

En 2017, un attaquant a exploité une vulnérabilité critique dans le framework Apache Struts (CVE-2017-5638), qui était utilisé dans les applications web d’Equifax (agence américaine multinationale de rapport de crédit à la consommation). Le correctif de cette vulnérabilité était disponible, mais Equifax n’a pas réussi à l’appliquer à temps.

Parce qu’ils manquaient de visibilité sur toutes les dépendances et bibliothèques à l’intérieur de leur application, la faille dans la bibliothèque Struts est passée inaperçue, ce qui a conduit à l’une des plus grandes violations de données de l’histoire, avec plus de 147 millions de données personnelles exposées.

Si un SBOM avait été en place, Equifax aurait pu rapidement :

• Identifier que leurs applications utilisaient la version vulnérable d’Apache Struts
• Prioriser l’application du correctif dès que la vulnérabilité a été divulguée
• Réduire le temps dont disposaient les attaquants pour exploiter la faiblesse

Ce cas nous montre comment une SBOM joue un rôle crucial pour maintenir la sécurité des composants logiciels, aidant les organisations à réagir plus rapidement aux nouvelles vulnérabilités divulguées.

Termes Connexes

• SCA (Analyse de la Composition Logicielle)
• Attaque de la Chaîne d’Approvisionnement
• Sécurité Open Source
• Gestion des Vulnérabilités