Liste de Matériaux Logiciels (SBOM)

---

Une Liste de Matériaux Logiciels (SBOM) est un enregistrement formel qui répertorie tous les composants tels que les bibliothèques, les packages et les dépendances contenus dans un artefact logiciel donné. C'est l'équivalent logiciel d'une liste de pièces de fabrication, détaillant ce qui compose votre application. Disposer d'une SBOM fiable aide les équipes de développement et de sécurité à :

• Identifier les composants à risque en raison de vulnérabilités connues.
• Comprendre les obligations et les risques liés à la licence.
• Réagir plus rapidement lors des attaques de type jour zéro ou de la chaîne d'approvisionnement.
• Se conformer aux exigences réglementaires ou organisationnelles.

BoostSecurity fournit une plateforme puissante de gestion et de visualisation de SBOM qui va bien au-delà du simple suivi d'inventaire statique. Avec le service SBOM de Boost, vous obtenez :

• Une vue centralisée des composants dans tous vos dépôts et images de conteneurs.
• Un enrichissement des vulnérabilités en temps réel, y compris les CVE, les scores EPSS, la sévérité CVSS v3.1 et la détection de logiciels malveillants.
• Une analyse approfondie des dépendances, y compris les dépendances transitives et indirectes.
• Des filtres et des outils de recherche perspicaces pour identifier les packages, projets ou configurations à risque.

Pour accéder au service SBOM, sélectionnez SBOM dans la barre latérale du tableau de bord BoostSecurity. À partir de la vue principale de la SBOM, la liste des projets et leurs vulnérabilités détectées ainsi que la vue globale du compte sont fournies.

---

Résumé du Compte

---

La première section de la page SBOM est le résumé du compte. Le nombre total de vulnérabilités par niveau est fourni, c'est-à-dire le nombre total de vulnérabilités dans tous les projets et composants tiers du compte. Le document SBOM peut être téléchargé au format Cyclonedx, Spdx ou CSV pour le compte, à partir du résumé du compte. Les documents SBOM du résumé du compte contiennent l'inventaire de tous les composants de tous les projets dans le compte.

---

Résumé Spécifique aux Projets

---

La section de résumé des projets fournit une posture basée sur les projets, en offrant un résumé du nombre de vulnérabilités :

• Par niveau de sévérité
• Par projet pour tous les projets dans le compte

Les projets sont présentés par ordre décroissant de sévérité des vulnérabilités.

Info

La zone de filtre Rechercher peut être utilisée pour rechercher un projet par mot-clé dans tous les projets du compte, et vous pouvez également utiliser le filtre Filtrer par pour n'afficher que les dépôts contenant des vulnérabilités ou utiliser un Tag Manuel personnalisé attribué aux dépôts pouvant contenir des vulnérabilités.

---

Packages

---

En sélectionnant l'onglet Packages dans le filtre Visualiser, Boost offre un moyen rapide de trouver tous les packages et composants tiers inclus dans tous les projets du compte.

Les packages sont présentés par ordre décroissant du nombre et de la sévérité des vulnérabilités. Pour chaque package, les éléments suivants sont fournis :

• Le nombre et la sévérité des vulnérabilités.
• Le nombre de dépôts dans le compte, y compris le package.

Note

La zone de recherche peut être utilisée pour rechercher un package par Nom de Package ou Identifiant de Sécurité. L'option de filtrage permet de filtrer par Licence, Type, Vulnérabilités, ou des Tags Manuels personnalisés.

---

Détails du Package

---

Sélectionnez un package dans la liste des packages pour voir plus de détails. Ces détails incluent :

• Nom du Package
• Licence
• Écosystème
• Version
• Type
• Dépôts
• Vulnérabilités

---

Vulnérabilités

---

Les détails des vulnérabilités pour chaque package peuvent être consultés en sélectionnant l'onglet Vulnérabilités. La liste des vulnérabilités est présentée, y compris le

• Identifiant de la Vulnérabilité
• Nom du Package
• Sévérité
• Avis
• Source
• Description
• Score CVSS v3.1
• Score EPSS

---

Score CVSS 3.1 et EPSS

---

Les scores CVSS et EPSS peuvent être consultés en cliquant sur une vulnérabilité répertoriée dans l'onglet Vulnérabilités.

La vue des détails des vulnérabilités peut être fermée avec "Esc" ou en cliquant sur le bouton de fermeture (x).

---

Dépôts

---

Sélectionnez l'onglet Dépôts pour voir la liste des dépôts.

Le lien vers le projet peut être sélectionné dans la liste des projets, conduisant l'utilisateur à la vue spécifique au projet.

---

Aucun Package Trouvé

---

Si aucun résultat n'est trouvé en fonction des filtres sélectionnés, vous serez informé qu'aucun package vulnérable ne répond aux critères.

---

Dépendances Transitives

---

Les dépendances transitives se produisent lorsque des vulnérabilités ou des problèmes de sécurité sont détectés non pas directement dans le code du projet mais dans les dépendances de la base de code du projet, formant une chaîne de composants interconnectés.

BoostSecurity analyse les dépendances et leurs vulnérabilités associées de manière approfondie. Il identifie non seulement les problèmes dans les dépendances directes du projet, mais découvre également les vulnérabilités au sein des dépendances transitives. En signalant ces dépendances transitives, BoostSecurity offre aux développeurs une voie pour prioriser et traiter les problèmes de sécurité, garantissant ainsi l'intégrité des applications.

---

Téléversement de SBOM

---

Français translation

BoostSecurity prend en charge le téléversement direct de fichiers SBOM Cyclonedx via l'interface utilisateur.

Cela permet aux utilisateurs de générer et de téléverser des SBOM au format CycloneDX pour une analyse autonome, que BoostSecurity enrichit ensuite avec des analyses de vulnérabilités, des scores de risque et des métadonnées, sans nécessiter d'intégration dans le pipeline de construction. Les SBOM téléversés de cette manière reçoivent le même traitement que ceux générés à partir de projets intégrés, ce qui inclut :

• Enrichissement des vulnérabilités (CVEs, EPSS, CVSS v3.1)
• Détection de logiciels malveillants
• Données de tableau de score OpenSSF
• Informations sur les licences
• Résolution de graphique de dépendance (y compris les dépendances transitives)

Une fois téléversé, le fichier est traité comme tout autre inventaire : enrichi, surveillé et visualisé via l'interface SBOM.

---

Comment télécharger des fichiers SBOM CycloneDX

---

Français

Pour téléverser un fichier SBOM CycloneDX :

1. Accédez à la page SBOM du tableau de bord BoostSecurity.

2. Cliquez sur le bouton Téléversement de SBOM en haut à droite de l'interface.

   

3. Dans le modal qui apparaît, sélectionnez le Type de SBOM : Image de Conteneur ou Dépôt SCM.

   

4. Remplissez les paramètres requis et téléversez le fichier. Selon le type de SBOM que vous avez sélectionné, fournissez les champs requis et sélectionnez votre fichier CycloneDX.

   • Pour les téléversements d'Image de Conteneur :

     1. Fournisseur : Sélectionnez le service de registre de conteneurs où votre image est hébergée. Les fournisseurs pris en charge incluent Docker Hub, AWS ECR, Google Container Registry, et d'autres.
     2. Nom du Registre : Entrez le domaine ou l'hôte de votre registre de conteneurs. Par exemple, registry.hub.docker.com ou 123456789.dkr.ecr.us-west-2.amazonaws.com.
     3. Nom du Dépôt : Indiquez le nom du dépôt dans votre registre qui contient l'image de conteneur. Par exemple, my-application/backend-service.
     4. Digest : Fournissez le digest SHA256 de la version spécifique de l'image que vous souhaitez téléverser. Cela garantit que l'image exacte est identifiée. Un exemple de digest serait sha256:abc123....
     5. URL de Base (Optionnel) : Si vous opérez dans un environnement sur site ou utilisez un registre privé, saisissez l'URL de base de votre registre ici. Cela aide BoostSecurity à localiser et accéder à votre registre de manière appropriée.
     6. Sélectionner le Fichier : Cliquez sur ce bouton pour parcourir et sélectionner le fichier SBOM CycloneDX correspondant à votre image de conteneur.

     Enfin, cliquez sur le bouton Téléverser pour terminer le téléversement du SBOM.

     

   • Pour le téléversement de Dépôt SCM, remplissez les paramètres requis :

     1. Monorepo : Si votre dépôt est un monorepo contenant plusieurs projets ou services, indiquez-le ici. Cela aide à associer correctement le SBOM au bon sous-projet.
     2. Fournisseur : Choisissez la plateforme de gestion de code source (SCM) hébergeant votre dépôt, comme GitHub, GitLab, Bitbucket, etc.
     3. Nom du Dépôt : Entrez le chemin complet de votre dépôt, généralement au format organisation/nom-du-dépôt.
     4. Branche par Défaut : Indiquez la branche principale de votre dépôt, généralement main ou master. Cela identifie la branche à partir de laquelle le SBOM a été généré.
     5. ID de Commit : Fournissez le hachage SHA unique du commit correspondant au SBOM. Cela garantit que le SBOM est lié à un état spécifique de votre base de code.

     Enfin, cliquez sur le bouton Téléverser pour terminer le téléversement du SBOM.

     

Une fois le téléversement terminé, le SBOM sera automatiquement analysé, et les vulnérabilités seront détectées et enrichies.

---

Recommandations de Patch

---

Pour chaque vulnérabilité de bibliothèque, nous affichons un lien vers la page de détails de la vulnérabilité de la bibliothèque. Cette page contient une liste de toutes les versions de la bibliothèque affectées par la vulnérabilité. Si un patch est disponible, il spécifiera la version de la bibliothèque contenant la correction.

---

Cycle de Mise à Jour des Données

---

Les sources de données sont régulièrement actualisées pour garantir que les informations les plus récentes sont disponibles pour l'analyse et la prise de décision. Les mises à jour ont lieu toutes les 12 heures, maintenant l'exactitude et la pertinence des données fournies aux utilisateurs.