En 2011, Marc Andreessen, développeur de logiciels milliardaire et cofondateur de Netscape, a écrit un article fondateur pour le Wall Street Journal sur « la révolution logicielle ». Il a commencé la pièce en proclamant : « Le logiciel dévore le monde.
Plus d’une décennie plus tard, les logiciels sont partout et ne vont nulle part, ce qui suscite de plus en plus de réelles inquiétudes quant à la sécurité de la chaîne d’approvisionnement des logiciels.
“Ainsi, le modèle commence par la transparence”, a déclaré le Dr Allan Friedman, conseiller principal et stratège au CISA, dont les années…
EN SAVOIR PLUS
En 2011, Marc Andreessen, développeur de logiciels milliardaire et cofondateur de Netscape, a écrit un article fondateur pour le Wall Street Journal sur « la révolution logicielle ». Il a commencé la pièce en proclamant : « Le logiciel dévore le monde.
Plus d’une décennie plus tard, les logiciels sont partout et ne vont nulle part, ce qui suscite de plus en plus de réelles inquiétudes quant à la sécurité de la chaîne d’approvisionnement des logiciels.
“Ainsi, le modèle commence par la transparence”, a déclaré le Dr Allan Friedman, conseiller principal et stratège chez CISA, dont les années dans le monde de la cybersécurité, complétées par son doctorat en politique publique à Harvard, le positionnent bien en cette période de problèmes de sécurité sans fin. .
Après transparence et sachant ce que vous avez, il a dit sur Perspectives fédérales mensuelles – Sécuriser la chaîne d’approvisionnement“… il s’agit de comprendre quelles sont certaines des assurances que nous pouvons donner sur la façon dont ce logiciel est créé, puis de se tourner vers l’avenir, en essayant de comprendre comment la qualité du logiciel que nous utilisons peut être meilleure et plus sécurisée.”
Dans les agences fédérales, les gens achètent des logiciels et, dans certains cas, ils développent leur propre logiciel, en faisant leur propre codage. La première approche est devenue précise sans équivoque il y a quelques années.
“En ce qui concerne ce que nous achetons, cela a été défini par la Maison Blanche et le décret exécutif 14028 de 2021”, a déclaré Friedman.
“L’objectif était de dire:” Hé, mettons des normes de base, des seuils minimaux sur ce que nous achetons. Donc, tu dois être aussi haut pour rouler », a-t-il déclaré sur le Federal Drive avec Tom Temin.
Rien dans l’EO 14028 ne devrait surprendre quiconque a pensé à la sécurité, a déclaré Friedman.
“Utilisez-vous une authentification décente ? Utilisez-vous des outils d’analyse de base qui existent depuis, vous savez, une décennie. Et, bien sûr, très cher à mon cœur, savez-vous réellement ce qu’il y a dans votre logiciel », qui est l’idée d’un SBOM.
La nomenclature logicielle ou SBOM est un élément clé de la sécurité logicielle et de la gestion de la chaîne d’approvisionnement logicielle.
« C’est le cœur d’un SBOM. C’est une couche de données qui dit que ce logiciel utilise ces autres logiciels, qui utilisent d’autres logiciels. Les logiciels d’aujourd’hui, même dans les environnements très développés par les développeurs, ne sont pas écrits à partir de zéro. Il est assemblé à partir de nombreux autres éléments, à la fois propriétaires et, bien sûr, open source », a déclaré Friedman.
Friedman a déclaré qu’avoir un SBOM et savoir que si quelqu’un pouvait le demander, signifie que les entreprises investiraient davantage dans leurs pratiques de développement de logiciels.
“Alternativement, s’ils ont déjà d’excellentes pratiques de développement de logiciels, ils devraient être en mesure de le claironner et de l’utiliser comme un avantage concurrentiel lors de la vente à notre agence”, a déclaré Friedman. « Et puis pour les gens qui achètent des logiciels ou qui choisissent l’Open Source, encore une fois, vous voulez dire : ‘Y a-t-il des risques avant même que j’aie signé sur la ligne pointillée ? Et en effet, pourquoi achèterais-je à quelqu’un qui ne pourrait pas me dire ce qu’il me vendait ? Et encore une fois, c’est une façon de récompenser les organisations qui ont investi dans une bonne sécurité des produits.