Blog

Contexte SLSA (Supply-chain Levels for Software Artifacts) est un cadre de sécurité visant à empêcher la falsification, à améliorer l'intégrité et à sécuriser les packages et l'infrastructure. Le concept de base de SLSA est qu'un artefact logiciel ne peut être fiable que s'il répond à trois exigences : L'artefact doit avoir un document de provenance décrivant son origine et son processus de construction […]

« Les éditeurs de logiciels doivent être tenus responsables lorsqu'ils ne respectent pas le devoir de diligence qu'ils ont envers les consommateurs, les entreprises ou les fournisseurs d'infrastructures critiques » (Maison Blanche). Aujourd'hui, tout fournisseur de logiciels est censé assumer une plus grande responsabilité pour garantir l'intégrité et la sécurité des logiciels par le biais d'accords contractuels, de versions et de mises à jour de logiciels, de notifications et […]

TL;DR Ces dernières années, l'industrie technologique a défendu avec ferveur le concept de « virage à gauche » dans le développement de logiciels, plaidant pour une intégration précoce des pratiques de sécurité dans le cycle de vie du développement. Ce mouvement vise à donner aux développeurs la responsabilité d'assurer la sécurité de leur code dès le début du projet. Cependant, même si les intentions derrière cette approche sont […]

L'industrie n'a pas encore pleinement compris l'idée d'un SBOM, et nous avons déjà commencé à entendre un nouveau terme – ML-BOM – Machine Learning Bill of Material. Avant que la panique ne s'installe, comprenons pourquoi une telle nomenclature doit être produite, les défis liés à la génération d'une ML-BOM et à quoi une telle ML-BOM peut ressembler. […]

L'un des risques de la chaîne d'approvisionnement en logiciels est la fuite de secrets. Les secrets sont omniprésents dans la chaîne d'approvisionnement des logiciels ; les développeurs et les pipelines CI\CD doivent utiliser des secrets pour accéder au SCM, au pipeline, aux registres d'artefacts, aux environnements cloud et aux services externes. Et quand les secrets sont partout, ce n’est qu’une question de temps […]

Début août, l'Institut national américain des normes et technologies (NIST) a publié une version préliminaire 2.0 de son cadre de cybersécurité historique, publié pour la première fois en 2014. De nombreux changements ont eu lieu au cours des dix dernières années, notamment le niveau croissant de menaces de cybersécurité que le document original présentait pour aider les pays critiques […]

Nous avons tous beaucoup entendu parler des SBOM récemment. Nous avons entendu parler de leur utilité, de leur composition et de leurs exigences en matière de sécurité et de réglementation. Cette fois, je veux prendre le temps de parler d'un segment un peu moins connu du SBOM CyclonDX : le Dependency Graph. Contrairement à son nom, le Dependency Graph n'est pas un […]

Beaucoup de mots ont été écrits ces dernières années sur le SBOM – Software Bill Of Materials. Avec toute cette exposition, les gens ont le sentiment de savoir assez bien ce qu'il faut expliquer : il s'agit d'une liste d'ingrédients logiciels, c'est important pour la transparence et la sécurité, et cela permet d'exposer les dépendances transitoires. Tous […]

Valint est le principal outil Scribe pour créer, gérer, signer et vérifier des preuves. Dans un article précédent, nous avons abordé la théorie de l'utilisation des preuves de signature et de vérification comme outil principal pour valider la sécurité de votre pipeline CI/CD. Pour rappel, le modèle proposé par Scribe comprend plusieurs éléments de base qui peuvent être mélangés et […]

En septembre 2022, l'Office of Management and Budget (OMB) des États-Unis a publié une note historique concernant les étapes nécessaires pour sécuriser votre chaîne d'approvisionnement en logiciels à un degré acceptable par le gouvernement fédéral américain. Toute entreprise souhaitant faire affaire avec le gouvernement et toute agence fédérale produisant des logiciels doit se conformer à […]