La NSA et les partenaires ESF publient des pratiques recommandées pour la consommation des nomenclatures logicielles
FORT MEADE, Maryland – La National Security Agency (NSA), le Bureau du directeur du renseignement national (ODNI), la Cybersecurity and Infrastructure Security Agency (CISA) et les partenaires de l’industrie ont publié un rapport technique sur la cybersécurité (CTR), « Secureing la chaîne d’approvisionnement logicielle : pratiques recommandées pour la consommation de nomenclatures logicielles. » Les conseils contenus dans cette version aident les développeurs de logiciels, les fournisseurs et les parties prenantes des clients à garantir l’intégrité et la sécurité des logiciels via des accords contractuels, des versions et mises à jour de logiciels, des notifications et des atténuations de vulnérabilités.
Le rapport a été élaboré par le groupe de travail sur la chaîne d’approvisionnement logicielle de l’Enduring Security Framework (ESF), un groupe intersectoriel public-privé dirigé par la NSA, l’ODNI et la CISA, pour fournir des détails sur les pratiques recommandées comme base pour décrire, évaluer, et mesurer les pratiques de sécurité par rapport au cycle de vie des logiciels. Il s’appuie sur le document « Enhancing the Security of the Software Supply Chain through Secure Software Development Practices » publié par l’Office of Management and Budget (OMB).
« Fondamentalement, SBOM offre une transparence logicielle essentielle pour une meilleure gestion des correctifs et des vulnérabilités pour les clients, ainsi que pour atténuer potentiellement les risques liés à la chaîne d’approvisionnement », a déclaré Jorge Laurel, chef d’Enduring Security Framework. « La dernière version d’ESF fournit les meilleures pratiques pour les consommations SBOM dans le but de accroître la cybersécurité au sein des organisations ainsi que dans la chaîne d’approvisionnement dans son ensemble« .
Les co-auteurs du rapport de l’ESF observent une augmentation des cyberattaques qui mettent en évidence les faiblesses des chaînes d’approvisionnement en logiciels. Cela augmente à son tour le risque que les chaînes d’approvisionnement soient militarisées par des adversaires étatiques nationaux qui peuvent accéder aux logiciels par plusieurs moyens, notamment, mais sans s’y limiter, les suivants : exploitation de défauts de conception, incorporation de composants tiers vulnérables dans un produit logiciel, infiltration du réseau du fournisseur avec du code malveillant avant la livraison finale du produit, et injection de malware au sein des logiciels déployés dans l’environnement client.
Suite à ces observations, le rapport fournit des conseils conformes aux meilleures pratiques et principes de l’industrie, y compris la gestion des logiciels open source et des nomenclatures logicielles (SBOM) pour maintenir et sensibiliser à la sécurité des logiciels. Plus précisément, le rapport détaille la consommation du SBOM, son cycle de vie, la notation des risques et la mise en œuvre opérationnelle dans le but d’accroître la transparence du cycle de gestion des logiciels et de permettre aux organisations d’accéder aux informations sur les risques.
« BlackBerry applaudit les conseils d’ESF sur la consommation SBOM », a déclaré Christine Gadsby, vice-présidente de la sécurité des produits chez BlackBerry. « La disponibilité d’une vue précise et complète et d’une catégorisation de tous les composants logiciels change la donne en matière de sécurité dans la chaîne d’approvisionnement logicielle, permettant une réponse d’atténuation en temps réel et basée sur les risques aux vulnérabilités de la chaîne d’approvisionnement, en particulier pour les actifs les plus critiques d’une entité.
Lisez le rapport complet maintenant.
Lisez les versions associées :
Visitez notre bibliothèque complète pour plus d’informations sur la cybersécurité et des conseils techniques.