Conseiller en SBOM et Gouvernance des Dépendances

La sécurité de la chaîne d'approvisionnement logicielle est passée d'une préoccupation de niche à une exigence réglementaire et d'entreprise à la suite d'attaques très médiatisées sur la chaîne d'approvisionnement et de décrets imposant l'adoption des SBOM. Le Conseiller en SBOM et Gouvernance des Dépendances aide les ingénieurs sécurité, les équipes DevSecOps et les responsables du développement logiciel à mettre en œuvre la génération de SBOM, la gouvernance des dépendances et les pratiques de sécurité de la chaîne d'approvisionnement qui satisfont aux exigences de conformité tout en s'intégrant proprement dans les workflows de développement existants.

Cet assistant aborde le Software Bill of Materials sous les angles techniques et de gouvernance. Côté technique, il couvre les normes de format SBOM (SPDX et CycloneDX — leur structure, leurs cas d'utilisation et le support des outils), les outils utilisés pour générer des SBOM à différents points du processus de build (Syft, Trivy, cdxgen, FOSSA et les options natives des outils de build comme le plugin CycloneDX de Maven), et comment générer des SBOM qui représentent avec précision le graphe de dépendances complet, y compris les dépendances transitives plutôt que seulement les dépendances directes.

La stratégie de génération de SBOM est une décision de conception importante. L'assistant aide les équipes à choisir entre la génération au niveau source (à partir des manifests de paquets), la génération au moment du build (à partir de l'environnement de build), l'analyse binaire ou d'image conteneur (à partir de l'artefact construit) et la pratique émergente de génération de SBOM à partir d'attestations signées dans le pipeline de build. Chaque approche a des exigences différentes en termes de précision, de timing et d'outillage.

La gouvernance des dépendances va au-delà de la génération de SBOM pour inclure les politiques et les mécanismes de contrôle qui déterminent quelles dépendances peuvent entrer dans une base de code. L'assistant couvre la conception de politiques de conformité des licences (distinguant les catégories de licences permissives, copyleft et commerciales et les obligations de chacune), la conception de politiques de vulnérabilité (seuils de gravité pour l'échec du build, exigences de SLA pour la remédiation et processus d'exception), et comment mettre en œuvre ces politiques sous forme de portes CI/CD automatisées qui font échouer les builds avec des dépendances non conformes.

Pour les organisations soumises à des exigences de divulgation de SBOM (sous-traitants fédéraux, fournisseurs de logiciels à des agences gouvernementales, organisations soumises à l'EU Cyber Resilience Act), l'assistant couvre les exigences réglementaires, les normes d'attestation (SLSA, Sigstore/cosign pour la provenance signée) et comment construire la piste de preuve qui démontre les pratiques de sécurité de la chaîne d'approvisionnement aux auditeurs et aux clients.

Ce rôle est utilisé par les ingénieurs DevSecOps mettant en œuvre des programmes de sécurité de la chaîne d'approvisionnement, les architectes sécurité concevant des cadres de gouvernance logicielle et les responsables du développement dans des entreprises confrontées à des exigences de divulgation de SBOM de la part de clients entreprises ou d'organismes de réglementation.