Contenu
La Fondation OWASP, en collaboration avec l'Agence de cybersécurité de Singapour (CSA), a publié un avis axé sur l'utilisation de la liste des composants logiciels (SBOM) pour améliorer la gestion des vulnérabilités dans les dépendances logicielles open source et tierces. Cet avis met en avant l'adoption d'OWASP CycloneDX, un format SBOM standardisé ratifié par Ecma International sous la norme ECMA-424, et souligne les efforts conjoints entre OWASP, Ecma International et la CSA pour promouvoir cette approche. L'avis présente également OWASP Dependency-Track comme la plateforme principale pour consommer et analyser les SBOM, fournissant aux développeurs des outils pratiques et des exemples pour intégrer ce processus dans leurs flux de travail.\n\nL'intégration des logiciels open source (OSS) dans les projets de développement pose d'importants défis en matière de cybersécurité, notamment en raison des vulnérabilités dans les dépendances tierces. Des incidents de sécurité très médiatisés tels que Log4j et Heartbleed illustrent ces risques : de nombreuses organisations ont eu des difficultés avec des systèmes compromis lors de l'incident Log4j en raison d'une visibilité insuffisante des composants logiciels, tandis que Heartbleed a conduit au vol de millions de dossiers médicaux en exploitant des vulnérabilités dans la bibliothèque OpenSSL. Des études montrent qu'un projet logiciel moyen contient environ 69 dépendances et plus de cinq vulnérabilités critiques, augmentant le risque de violations si les développeurs ne disposent pas d'une connaissance complète des composants de l'application.\n\nCet avis s'adresse aux développeurs de logiciels qui intègrent des OSS et des dépendances tierces, reconnaissant que bien que beaucoup soient conscients des risques de cybersécurité, ils manquent souvent de directives ou de ressources suffisantes pour appliquer des pratiques de sécurité robustes lors de la création et du déploiement des logiciels. Il propose une approche durable et automatisée de la gestion des vulnérabilités en utilisant la SBOM combinée à la surveillance en temps réel des vulnérabilités, ce qui peut grandement améliorer l'efficacité et l'efficience de la gestion des risques logiciels.\n\nTraditionnellement, la gestion manuelle des dépendances OSS est laborieuse et sujette aux erreurs. Les développeurs doivent parcourir des bases de code complexes pour identifier les composants vulnérables, ce qui retarde les efforts de remédiation. La SBOM offre un enregistrement structuré et formalisé des composants logiciels, offrant une visibilité complète sur l'environnement logiciel. Cette transparence permet aux développeurs d'identifier rapidement et de traiter les vulnérabilités, réduisant la dette technique et les charges de remédiation futures. En intégrant les outils SBOM dans les pipelines d'intégration continue et de déploiement continu (CI/CD), les organisations peuvent automatiser la création, la signature et les processus d'alerte SBOM, permettant ainsi une surveillance en temps réel des vulnérabilités émergentes.\n\nLa SBOM favorise également la collaboration entre les équipes de développement, les opérations de sécurité et les équipes de réponse aux incidents, renforçant la gestion holistique des vulnérabilités et accélérant les temps de réponse. Cette approche collaborative minimise la complexité opérationnelle et soutient une atténuation proactive des risques sans freiner l'innovation. L'intégration de la génération SBOM dans les processus CI/CD garantit que la sensibilisation aux vulnérabilités suit l'évolution des composants logiciels, permettant une action immédiate sur les menaces nouvellement découvertes.\n\nL'avis décrit une approche en trois étapes pour la gestion des vulnérabilités via les SBOM. La première est la sélection des outils : l'outil choisi doit identifier avec précision tous les composants logiciels et dépendances, y compris les indirectes, et s'intégrer parfaitement aux pipelines CI/CD tels que GitHub Actions ou GitLab CI/CD. La deuxième est la génération et la signature de la SBOM conformément aux normes reconnues comme CycloneDX ou SPDX, garantissant l'authenticité et la traçabilité via une signature cryptographique et la publication dans des journaux de transparence. La troisième est la gestion proactive des vulnérabilités : publier la SBOM dans des dépôts sécurisés où des outils comme OWASP Dependency-Track peuvent ingérer automatiquement les données pour une surveillance continue et une détection précoce des vulnérabilités.\n\nLes développeurs sont invités à considérer que l'exhaustivité de la SBOM dépend des fichiers manifestes générés, et que les langages de programmation obscurs peuvent réduire la précision de la détection. Pour les logiciels SaaS et propriétaires, il est crucial de demander des SBOM aux fournisseurs tiers, ou alternativement d'utiliser des outils SBOM basés sur l'exécution ou les binaires pour capturer les composants chargés dynamiquement ou les binaires compilés. Lors de l'identification de vulnérabilités, les développeurs doivent notifier leurs fournisseurs tiers pour remédiation. Il est également essentiel de vérifier l'exploitabilité des vulnérabilités détectées afin d'éviter de submerger les équipes avec des faux positifs, garantissant des efforts de remédiation ciblés et efficaces.
