Aller au contenu

Téléchargement de SBOM

BoostSecurity prend en charge le téléchargement direct des fichiers SBOM Cyclonedx via l'interface utilisateur.

Cela permet aux utilisateurs de générer et de télécharger des SBOM au format CycloneDX pour une analyse autonome, que BoostSecurity enrichit ensuite avec des informations sur les vulnérabilités, des scores de risque et des métadonnées, sans nécessiter d'intégration de pipeline de build. Les SBOM téléchargés par cette méthode reçoivent le même traitement que ceux générés à partir de projets intégrés, notamment :

  • Enrichissement des vulnérabilités (CVEs, EPSS, CVSS v3.1)
  • Détection de logiciels malveillants
  • Données de scorecard OpenSSF
  • Informations sur les licences
  • Résolution de graphes de dépendance (y compris les dépendances transitives)

Une fois téléchargé, le fichier est traité comme tout autre inventaire : enrichi, surveillé et visualisé via l'interface SBOM.

Comment télécharger des fichiers SBOM CycloneDX

Pour télécharger un fichier SBOM CycloneDX :

  1. Accédez à la page SBOM du tableau de bord BoostSecurity.

  2. Cliquez sur le bouton Téléchargement de SBOM en haut à droite de l'interface.

    Bouton de téléchargement de SBOM

  3. Dans la fenêtre modal qui apparaît, sélectionnez le type de SBOM : Image de Conteneur ou Dépôt SCM.

    Sélectionner le type de SBOM

  4. Remplissez les paramètres requis et téléchargez le fichier. Selon le type de SBOM sélectionné, fournissez les champs nécessaires et sélectionnez votre fichier CycloneDX.

    • Pour les téléchargements d'Image de Conteneur :

      1. Fournisseur : Sélectionnez le service de registre de conteneurs où votre image est hébergée. Les fournisseurs pris en charge incluent Docker Hub, AWS ECR, Google Container Registry, et d'autres.
      2. Nom du Registre : Entrez le domaine ou le nom d'hôte de votre registre de conteneurs. Par exemple, registry.hub.docker.com ou 123456789.dkr.ecr.us-west-2.amazonaws.com.
      3. Nom du Dépôt : Spécifiez le nom du dépôt dans votre registre qui contient l'image de conteneur. Par exemple, my-application/backend-service.
      4. Digest : Fournissez le digest SHA256 de la version spécifique de l'image que vous souhaitez télécharger. Cela garantit que l'image exacte est identifiée. Un exemple de digest pourrait être sha256:abc123....
      5. URL de Base (Optionnel) : Si vous opérez dans un environnement sur site ou utilisez un registre privé, saisissez ici l'URL de base de votre registre. Cela aide BoostSecurity à localiser et accéder à votre registre de manière appropriée.
      6. Sélectionner Fichier : Cliquez sur ce bouton pour parcourir et sélectionner le fichier SBOM CycloneDX correspondant à votre image de conteneur.

      Enfin, cliquez sur le bouton Télécharger pour terminer le téléchargement de SBOM.

      Téléchargement SBOM Image de Conteneur

    • Pour le téléchargement de Dépôt SCM, remplissez les paramètres requis :

      1. Monorepo : Si votre dépôt est un monorepo contenant plusieurs projets ou services, indiquez-le ici. Cela aide à associer avec précision le SBOM au bon sous-projet.
      2. Fournisseur : Choisissez la plateforme de gestion de code source (SCM) hébergeant votre dépôt, comme GitHub, GitLab, Bitbucket, etc.
      3. Nom du Dépôt : Entrez le chemin complet de votre dépôt, généralement au format organisation/nom-du-dépôt.
      4. Branche par Défaut : Spécifiez la branche principale de votre dépôt, couramment main ou master. Cela identifie la branche à partir de laquelle le SBOM a été généré.
      5. ID de Commit : Fournissez le hash SHA unique du commit correspondant au SBOM. Cela garantit que le SBOM est lié à un état spécifique de votre code source.

      Enfin, cliquez sur le bouton Télécharger pour terminer le téléchargement de SBOM.

      Téléchargement SBOM Dépôt SCM

Une fois le téléchargement terminé, le SBOM sera automatiquement analysé, et les vulnérabilités seront détectées et enrichies.