La Fondation OWASP (Open Web Application Security Project) et IBM a annoncé aujourd’hui la contribution d’IBM à deux projets open source visant à accroître la confiance dans les chaînes d’approvisionnement matérielles et logicielles ouvertes.
Les deux projets sont SBOM Utility et License Scanner, qui s’ajoutent à CycloneDX, un projet phare de l’OWASP et une norme de nomenclature (BOM) de premier plan. Celles-ci favorisent la validation, l’analyse du contenu et l’exactitude des informations de licence logicielle incluses dans les nomenclatures.
L’utilitaire SBOM et le scanner de licence développés par IBM apporteront des technologies open source à l’OWASP pour aider les développeurs à améliorer la qualité de leurs données sur le front-end et aider à valider les SBOM pour évaluer les risques.
SBOM Utility est conçu pour être une plate-forme API utilisée principalement pour valider les nomenclatures au format CycloneDX ou SPDX par rapport à leurs schémas publiés. Il peut également aider à valider les produits dérivés créés par les organisations qui souhaitent que des exigences plus strictes en matière de données de nomenclature soient appliquées.
License Scanner est conçu pour analyser les fichiers à la recherche de licences et de termes juridiques. Il peut être utilisé pour aider à identifier les licences de correspondance de texte et les exceptions de licence à partir de la Liste des licences SPDX complète et publiée. Prêt à l’emploi, il correspond à la version 3.18 des licences SPDX (un peu moins de 500) et des exceptions de licence (40+) et est livré avec une option pour importer les futures versions des licences SPDX.
License Scanner a été développé pour être intégré dans les chaînes d’outils DevOps du service de livraison continue d’IBM Cloud et est également utilisé dans le cadre du processus d’autorisation légale d’IBM pour les logiciels open source et d’entreprise avant l’approbation pour une utilisation interne.
“Il y a toujours un besoin de sensibilisation, d’outils et de conseils pour aider à créer des logiciels avec plus de fonctionnalités de sécurité », déclare Jamie Thomas, directeur général, stratégie et développement des systèmes chez IBM.”IBM a une longue histoire de contribution à une grande variété de communautés open source telles que la Fondation OWASP. Nous pensons que ces contributions peuvent aider les développeurs à évaluer les risques et à créer des applications plus sécurisées qui peuvent renforcer la confiance des consommateurs.”
Utilitaire SBOM et Scanner de licence sont sur GitHub.
Crédit image : Chan2545/depositphotos.com