Skip to content

Commit

Permalink
Add aboutcode workshop
Browse files Browse the repository at this point in the history
  • Loading branch information
bzg committed Sep 27, 2024
1 parent 99d5798 commit 8406d71
Showing 1 changed file with 60 additions and 0 deletions.
60 changes: 60 additions & 0 deletions content/fr/bluehats/ateliers/aboutcode.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,60 @@
---
title: "AboutCode : outils et données libres et ouvertes pour automatiser la sécurisation de la chaîne d'approvisionnement logicielle"
date: 2024-11-08
description: L'atelier présentera AboutCode, une solution libre et open source dédiée à l'automatisation de l’analyse de la composition logicielle et à la détermination de l'origine, de la licence et des problèmes de sécurité présents dans un arbre de dépendances logicielles
---
- Date : 8 novembre 2024
- Heure : De 11h à 12h30
- Intervenant : Philippe Ombrédanne, Mainteneur principal chez AboutCode.org, une association sans but lucratif Belge et Software, et une personne de Software Heritage
- Visio : [Salon BlueHats](https://webinaire.numerique.gouv.fr/meeting/signin/invite/362/creator/369/hash/14eb55bd230aa1a8b8a98e0ee35b056d0196afcf)

<br/>

La gestion des composants logiciels libres ("Open Source"), en
particulier leur sécurité, leurs licences et leur provenance, est une
pratique essentielle du développement moderne de logiciels. La
technique principale est l’analyse de la composition logicielle (SCA
or "Software Composition Analysis"). L'adoption de la SCA est
désormais une condition préalable pour que les organisations modernes
productrices et consommatrices de logiciels se conforment à la
réglementation européenne sur la cyber résilience (CRA) et à d’autres
réglementations similaires en Europe et aux États-Unis. La SCA
s'appuie sur la création d'inventaires et de nomenclature de
composants et paquets logiciels ("Software Bill of Material" ou SBOM)
tels qu'utilisés dans une application. L'adoption de la SCA peut
également renforcer de manière majeure la sécurité de la chaîne
d’approvisionnement logicielle et aide à garantir l’intégrité de cette
dernière : à cette fin, la SCA permet de maintenir une connaissance
continue des composants tiers inclus et déployés dans les
applications, et quels sont les problèmes de sécurité potentiels parmi
ces composants qui requièrent l'attention des équipes de logiciel et
de sécurité.

Seule l’automatisation de ces pratiques de SCA rend cette approche
possible. Elle est impossible sans ces outils, car le volume de
composants consommés est tel qu'il est impossible de gérer
efficacement cette chaîne. Et avec les outils libres, l’automatisation
est effectivement accessible à tous les développeurs et organisations.
L’automatisation de ces processus est aussi une bonne pratique de
développement logiciel à adopter dans tous les cas.

L'atelier présentera la "stack" AboutCode qui est une solution libre
et open source dédiée à l'automatisation de l’analyse de la
composition logicielle, et à la détermination de l'origine, de la
licence et des problèmes de sécurité présents dans un arbre de
dépendances logicielles. Cette solution comprend plusieurs outils,
librairies, standards ouverts, and données ouvertes, incluant
ScanCode, DejaCode, VulnerableCode, PurlDB, et la "Package-URL" (ou
PURL), un standard ouvert développé par AboutCode et adopté et utilisé
dans toute l'industrie comme fondation de tous les outils de SCA,
libres ou propriétaires, et par tous les formats de SBOM et VEX
(Vulnerability Exploitability eXchange) comme les standards CycloneDX,
SPDX, OASIS CSAF et OpenVex.

Après cette présentation, les participants auront acquis une meilleure
compréhension de la manière dont une solution complète d’outils et de
données libres et ouverts peut aider à sécuriser les chaînes
d'approvisionnement logicielles, garantir la conformité aux
réglementations à venir, et améliorer la posture de sécurité des
équipes logicielles et des systèmes et applications qu’elles déploient
et distribuent.

0 comments on commit 8406d71

Please sign in to comment.