Protobom est un nouvel outil destiné à la chaîne d’approvisionnement en logiciels open source. Objectif : lire et générer des listes de matériaux de logiciels (SBOM) et des données de fichiers, ainsi que traduire ces données dans les formats SBOM standard de l’industrie.
Le projet Protobom est lancé. Il est open source et hébergé sur Github (licence Apache 2.0). Protobom le fruit d’une collaboration entre l’OpenSSF, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) et la Direction de la science et de la technologie du Département de la sécurité intérieure (DHS S&T) américaine.
Un SBOM est un inventaire formaté et imbriqué qui répertorie les composants constituant un logiciel, y compris les relations de chaîne d’approvisionnement entre divers composants open source et commerciaux utilisés dans le développement de logiciels. Comprendre la chaîne d’approvisionnement des logiciels, obtenir un SBOM et l’utiliser pour analyser les vulnérabilités connues sont cruciaux pour la gestion des risques en cybersécurité.
Actuellement, plusieurs formats de données SBOM et schémas d’identification existent, ce qui rend difficile l’adoption de l’utilisation de SBOM par les organisations. Protobom vise à atténuer ce problème en offrant une couche de données neutre en format au-dessus des normes qui permet aux applications de fonctionner de manière transparente avec tout type de SBOM.
« Protobom est une représentation des données SBOM par des tampons de protocole, capable d’ingérer des documents dans les versions modernes de SPDX et CycloneDX, et ce sans perte. Il est accompagné d’une bibliothèque Go générée à partir de la définition des tampons de protocole qui implémente également des ingesters pour ces formats » – OpenSSF https://openssf.org/projects/protobom/
Pour dynamiser le marché et encourager l’adoption de SBOM, la CISA et le SVIP de la DHS S&T ont collaboré et financé rien moins que sept start-ups pour développer Protobom : AppCensus, Inc., Chainguard, Inc., Deepbits Technology, Inc., Manifest Cyber, Inc., Scribe Security, TestifySec, et Veramine, Inc.
Dans son communiqué, l’OpenSSF s’est engagée à faciliter le développement open source et collaboratif de Protobom tout en incitant la croissance d’une communauté de contributeurs open source.
