La société de cybersécurité basée sur l'IA, AI SPERA, a annoncé le 12 avoir mené à bien un projet de démonstration de nomenclature logicielle (SBOM) piloté par le gouvernement. Cette démonstration a fourni un exemple concret d'application de la SBOM à un environnement de service réel au sein du système de sécurité de la chaîne d'approvisionnement logicielle nationale.
SBOM gère systématiquement les informations relatives à la source, à la version et à la licence des bibliothèques open source et tierces qui composent les logiciels, et sert de norme mondiale pour la sécurité des chaînes d'approvisionnement. Aux États-Unis et en Europe, les soumissions SBOM sont principalement requises pour les marchés publics et les grandes industries. En Corée, en revanche, le système et la technologie sont encore à leurs débuts et les exemples concrets restent limités.
Dans le cadre de ce projet de démonstration, AI Spera a intégré son système SBOM à sa plateforme de gestion de la surface d'attaque (ASM) et de veille sur les menaces, Criminal IP, afin de mettre en œuvre un modèle opérationnel automatisé pour la sécurité de la chaîne d'approvisionnement. Criminal IP dispose d'une structure qui identifie tous les composants logiciels du service et gère les informations relatives à la version, à la source et à la licence de chaque composant.
Cela a permis de créer un environnement où, lorsqu'une nouvelle vulnérabilité est divulguée en externe, son implication et son impact peuvent être rapidement identifiés, et les priorités de réponse établies. De plus, un système d'automatisation basé sur la nomenclature des actifs logiciels (SBOM) a structuré la gestion des actifs logiciels, le suivi de l'historique des modifications et les processus de réponse aux vulnérabilités au sein d'un flux de travail unique.
Le système est conçu pour répondre aux principales exigences de sécurité et de conformité, notamment les normes ISO/IEC 27001, SOC 2, PCI DSS et ISMS, ainsi que le cadre de sécurité basé sur les recommandations du NIST, FedRAMP et la réglementation européenne sur la transparence de la chaîne d'approvisionnement. Il permet de gérer l'historique des modifications logicielles sous forme de données reproductibles.
AI Spera a expliqué que cette démonstration a permis de réduire le temps nécessaire à l'évaluation et à la correction des vulnérabilités et de mettre en place un système de preuves à l'appui des audits et de la conformité réglementaire. Le modèle opérationnel, qui combine SBOM et propriété intellectuelle criminelle, est considéré comme un facteur renforçant la cohérence des réponses en matière de sécurité de la chaîne d'approvisionnement et la stabilité opérationnelle.
Kang Byeong-tak, PDG d'AI Spera, a déclaré : « Nous avons vérifié l'applicabilité de SBOM grâce à une démonstration dans l'environnement national où son introduction n'en est qu'à ses débuts », et a ajouté : « Nous prévoyons de faire progresser continuellement le modèle de sécurité de la chaîne d'approvisionnement qui combine technologie et opérations. »
- Voir plus d'articles connexes
You must be logged in to post a comment.