forked from codegouvfr/eleventy-dsfr
-
Notifications
You must be signed in to change notification settings - Fork 14
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
Showing
1 changed file
with
60 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,60 @@ | ||
--- | ||
title: "AboutCode : outils et données libres et ouvertes pour automatiser la sécurisation de la chaîne d'approvisionnement logicielle" | ||
date: 2024-11-08 | ||
description: L'atelier présentera AboutCode, une solution libre et open source dédiée à l'automatisation de l’analyse de la composition logicielle et à la détermination de l'origine, de la licence et des problèmes de sécurité présents dans un arbre de dépendances logicielles | ||
--- | ||
- Date : 8 novembre 2024 | ||
- Heure : De 11h à 12h30 | ||
- Intervenant : Philippe Ombrédanne, Mainteneur principal chez AboutCode.org, une association sans but lucratif Belge et Software, et une personne de Software Heritage | ||
- Visio : [Salon BlueHats](https://webinaire.numerique.gouv.fr/meeting/signin/invite/362/creator/369/hash/14eb55bd230aa1a8b8a98e0ee35b056d0196afcf) | ||
|
||
<br/> | ||
|
||
La gestion des composants logiciels libres ("Open Source"), en | ||
particulier leur sécurité, leurs licences et leur provenance, est une | ||
pratique essentielle du développement moderne de logiciels. La | ||
technique principale est l’analyse de la composition logicielle (SCA | ||
or "Software Composition Analysis"). L'adoption de la SCA est | ||
désormais une condition préalable pour que les organisations modernes | ||
productrices et consommatrices de logiciels se conforment à la | ||
réglementation européenne sur la cyber résilience (CRA) et à d’autres | ||
réglementations similaires en Europe et aux États-Unis. La SCA | ||
s'appuie sur la création d'inventaires et de nomenclature de | ||
composants et paquets logiciels ("Software Bill of Material" ou SBOM) | ||
tels qu'utilisés dans une application. L'adoption de la SCA peut | ||
également renforcer de manière majeure la sécurité de la chaîne | ||
d’approvisionnement logicielle et aide à garantir l’intégrité de cette | ||
dernière : à cette fin, la SCA permet de maintenir une connaissance | ||
continue des composants tiers inclus et déployés dans les | ||
applications, et quels sont les problèmes de sécurité potentiels parmi | ||
ces composants qui requièrent l'attention des équipes de logiciel et | ||
de sécurité. | ||
|
||
Seule l’automatisation de ces pratiques de SCA rend cette approche | ||
possible. Elle est impossible sans ces outils, car le volume de | ||
composants consommés est tel qu'il est impossible de gérer | ||
efficacement cette chaîne. Et avec les outils libres, l’automatisation | ||
est effectivement accessible à tous les développeurs et organisations. | ||
L’automatisation de ces processus est aussi une bonne pratique de | ||
développement logiciel à adopter dans tous les cas. | ||
|
||
L'atelier présentera la "stack" AboutCode qui est une solution libre | ||
et open source dédiée à l'automatisation de l’analyse de la | ||
composition logicielle, et à la détermination de l'origine, de la | ||
licence et des problèmes de sécurité présents dans un arbre de | ||
dépendances logicielles. Cette solution comprend plusieurs outils, | ||
librairies, standards ouverts, and données ouvertes, incluant | ||
ScanCode, DejaCode, VulnerableCode, PurlDB, et la "Package-URL" (ou | ||
PURL), un standard ouvert développé par AboutCode et adopté et utilisé | ||
dans toute l'industrie comme fondation de tous les outils de SCA, | ||
libres ou propriétaires, et par tous les formats de SBOM et VEX | ||
(Vulnerability Exploitability eXchange) comme les standards CycloneDX, | ||
SPDX, OASIS CSAF et OpenVex. | ||
|
||
Après cette présentation, les participants auront acquis une meilleure | ||
compréhension de la manière dont une solution complète d’outils et de | ||
données libres et ouverts peut aider à sécuriser les chaînes | ||
d'approvisionnement logicielles, garantir la conformité aux | ||
réglementations à venir, et améliorer la posture de sécurité des | ||
équipes logicielles et des systèmes et applications qu’elles déploient | ||
et distribuent. |