Les entreprises doivent être conscientes de certaines limitations, obligations et vulnérabilités des licences open source. Pour s'assurer que les risques potentiels en matière de cybersécurité ne soient pas négligés, le processus d'analyse de la composition logicielle (SCA) a été développé pour identifier les logiciels open source (OSS) dans une base de code. Finalement, il a été étendu pour devenir un processus automatisé qui évalue la qualité, la conformité et les niveaux de sécurité du code. En raison des risques croissants et de l'utilisation généralisée des logiciels open source, les responsables de la sécurité et de la gestion des risques doivent étendre la portée de la SCA. Voici dix choses que vous devez savoir sur l'analyse de la composition logicielle :
1. SCA identifie généralement les vulnérabilités au cours du processus de développement d'applications développées en interne afin de détecter les logiciels libres intégrés. L'outil fournit des avertissements concernant les licences susceptibles d'imposer des conditions que l'organisation juge inacceptables.
2. Les défis les plus importants liés aux OSS incluent les préoccupations concernant la viabilité à long terme des projets OSS, les vulnérabilités en matière de sécurité, la décision de rechercher le support commercial d’un fournisseur et les problèmes de licence.
3. Lors de la gestion de composants open source, la plupart des outils SCA avancés fournissent des rapports sur les dépendances directes, les dépendances transitives, tous les composants associés et leurs bibliothèques de support. Le processus d'analyse fournit un inventaire complet des ressources logicielles, y compris une nomenclature.
4. Les groupes de sécurité, les équipes DevOps et les développeurs d’applications sont les principaux acheteurs d’outils SCA. Le marché SCA est composé d’acheteurs à la recherche d’outils de test de sécurité offrant des fonctionnalités telles que la reconnaissance et l’identification des logiciels libres, l’identification des licences logicielles, l’évaluation des risques, les vulnérabilités logicielles, la gouvernance et le contrôle, le risque opérationnel, ainsi que le reporting et l’analyse. Étant donné que les équipes de développement d’applications et DevOps sont devenues les principaux acheteurs, la demande d’outils SCA pour une meilleure intégration aux chaînes d’outils de développement est en hausse.
5. Les acheteurs SCA peuvent sélectionner des outils provenant de diverses sources, notamment des composants de suite de tests d'applications (AST), une plate-forme de développement d'applications, des produits autonomes et des logiciels open source.
6. Étant donné que les outils SCA peuvent indiquer un risque opérationnel, les acheteurs utilisent ces outils pour répondre aux préoccupations liées à leur chaîne d’approvisionnement, notamment une mauvaise maintenance, la présence de code malveillant, l’abandon de code, la viabilité incertaine du projet et le potentiel de compromission future.
7. Lors de l’évaluation du risque opérationnel, les outils SCA évaluent des facteurs tels que la fréquence de mise à jour, la réponse aux défauts de codage et aux vulnérabilités, les changements de contrôle, ainsi que le nombre et la réputation des responsables de la maintenance.
8. Les outils SCA peuvent également être utilisés pour déterminer et évaluer les risques juridiques potentiels de la licence utilisée pour distribuer un progiciel spécifique.
9. Plutôt que de tester réellement les packages OSS, les outils SCA identifient les packages associés à des problèmes connus pour rechercher des modifications du contenu, des changements dans le comportement de l'application et d'autres irrégularités.
10. L’intérêt et l’adoption croissants de la SCA sont dus à la forte augmentation et à la gravité des attaques récentes contre les logiciels commerciaux et open source. Avec l’adoption croissante de la SCA, le marché exige une attention accrue à la sécurité des applications, à l’évaluation des risques opérationnels, à la transparence du contenu des progiciels commerciaux et à une gouvernance OSS améliorée.
Contactez des experts spécialisés pour en savoir plus sur le fonctionnement de la SCA et sur la manière dont elle pourrait être utilisée pour accroître la confiance dans la chaîne d'approvisionnement.