Avez-vous déjà eu un audit de sécurité sur votre projet ? Nous aussi, et pour faire simple, nous n'étions pas très bons pour mettre à jour nos dépendances tierces.

Après avoir automatisé ce processus, nous nous sommes demandés comment scanner régulièrement nos dépendances à la recherche de vulnérabilités. C'est ainsi que nous avons découvert le Software Bill Of Materials (SBOM) : l'inventaire des dépendances qui constituent notre logiciel.

Saviez-vous que depuis 2021, les fournisseurs de logiciels pour le gouvernement fédéral des États-Unis doivent obligatoirement fournir un SBOM ? Et l’Europe commence à y réfléchir.

Durant ce talk, je vous présenterai les deux formats de SBOM existants : CycloneDX, soutenu par l'OWASP, et SPDX, par la Linux Foundation. Je vous expliquerai également comment nous avons automatisé leur génération depuis notre CI, ainsi que leur exploitation via DependencyTrack.

N’attendez pas plus longtemps pour ajouter une couche de sécurité logicielle supplémentaire à votre projet !