Replay émission
L'incursion de Dmitry Raidman dans la gestion de SBOM a commencé avec un babyphone vulnérable alors qu'il était nouveau père en 2015. Une SBOM ( Software Bill of Materials ) est comme une liste d'ingrédients de tous les morceaux de code qui entrent dans une application embarquée. (use case)
Découvrez le replay de cette émission et les explications associées.
Avec des centaines, voire des milliers de SBOM appliqués à chaque produit logiciel, il a fondé Cybeats et construit le SBOM Studio . Plus qu'un simple référentiel, SBOM studio automatise et orchestre la gestion et la visualisation SBOM sur une grande variété de types SBOM pour assurer une gestion à vie des informations SBOM et améliorer considérablement la visibilité dans la chaîne d'approvisionnement logicielle.
Il explique les nombreux types de SBOM, en commençant par un SBOM de conception pour comprendre si vous intégrez des sources de code fiables dans l'application avant le début du développement. Il souligne le référentiel SBOM, le build SBOM, le binaire SBOM, le runtime SBOM et plus encore. Un référentiel SBOM doit gérer tout type de SBOM, ajoute-t-il, quelles que soient les normes concurrentes .
« Il existe différentes entreprises qui génèrent différents SBOM, mais vous voulez une entreprise qui le fait vraiment bien en identifiant correctement chaque composant », explique-t-il. « Un SBOM de qualité peut fournir des analyses autour des SBOM afin d'ajouter de la valeur aux constructeurs de produits et aux clients. »
Dans cette émission, il montre également comment les constructeurs et les acheteurs peuvent utiliser SBOM Studio pour générer une SBOM à partir d'une application open source à l'aide de l'analyse de composition binaire CodeSentry de CodeSecure. C'est le résultat d'un partenariat entre CodeSecure et Cybeats annoncé en octobre. Dans la démonstration, le système d'exploitation, la version, le format, les avertissements de licence et d'autres métadonnées sont analysés par rapport à un lac de données de vulnérabilités connues et de données d'intelligence de la chaîne d'approvisionnement. Il est ensuite réduit aux vulnérabilités exploitables grâce à l’application du catalogue de vulnérabilités exploitables connues (KEV) et d’autres sources d’informations pour hiérarchiser et analyser la « brèche », comme il le dit.