Quel outil pour suivre le SBOM d'un projet et les vulnérabilités associées
17 views
Skip to first unread message
Jérémie Bresson
Nov 20, 2024, 8:40:47 AM11/20/24
to lescastcodeurs
Bonjour à tous,
Je me demande quel est le bon outil pour collecter les SBOM (par example à partir d'un build maven/gradle) et suivre son évolution dans le temps.
Des outils comme Trivy (1) permettent de générer un SBOM à partir d'une image docker, mais pour avoir déjà analysé le contenu d'un rapport, j'ai remarqué qu'on ne retrouve pas toutes les coordonnées de tous les jars inclus dans l'image.
Il y a aussi des outils qui permettent de retrouver les libs qui sont incluses dans un jar donné (y compris malgré un changement de package), mais honnêtement j'ai l'impression qu'il vaudrait mieux une bonne base de données, car le fait que `net.sf.ehcache:ehcache:2.10.9.2` contienne une veille version de jackson est une information immutable.
Après on commence à lire également ce genre de requirements:
The Supplier must:
• Integrate SBOM management into CI/CD pipelines to ensure that security checks are performed at every stage of the software development lifecycle,
• provide detailed documentation foreach component listed in the SBOM, including its security posture and any known vulnerabilities (e.g. theSupplier name, component name, version, identifier, relationship, description and origin),
• provide regular reports on the status of SBOM components, highlighting any changes, updates, or newly discovered vulnerabilities
• Integrate SBOM management into CI/CD pipelines to ensure that security checks are performed at every stage of the software development lifecycle,
• provide detailed documentation foreach component listed in the SBOM, including its security posture and any known vulnerabilities (e.g. theSupplier name, component name, version, identifier, relationship, description and origin),
• provide regular reports on the status of SBOM components, highlighting any changes, updates, or newly discovered vulnerabilities
The Supplier must ensure that the SBOM complies with industry standards (e.gSPDX / CycloneDX, ISO/IEC 27036-3:2023 Annex B2, etc.)
The Supplier must only use applications, components and libraries that are actively supported by their Suppliers or by an active open source community
The Supplier must risk assess, monitor and manage the security of third party components and libraries, including the components of SBOM using unique identifiers for tracking
Du coup cela demande des outils (par example intégré dans le pipeline de CI), un dashboard/tracker pour faire le suivi dans le temps (peut-être que l'issue tracker principal du projet peut être suffisant).
Avez vous des retours d'expérience ou des conseils dans ce domaine?
Merci d'avance,
Reply all
Reply to author
Forward
0 new messages