⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

Sécurité de la chaîne d'approvisionnement logicielle

Table des matières

Le terme "chaîne d'approvisionnement logicielle" fait référence au processus de bout en bout de développement et de livraison de logiciels, du développement au déploiement et à la maintenance. La sécurité de la chaîne d'approvisionnement logicielle, ou "S3C" en abrégé, est la pratique de protection des composants et des processus de la chaîne d'approvisionnement.

La S3C est un changement fondamental dans la manière dont les organisations abordent la sécurité des logiciels. Traditionnellement dans l'industrie du logiciel, la sécurité et la conformité ont été principalement une réflexion après coup, laissée à la phase de livraison ou de publication du logiciel. Avec la S3C, la sécurité est intégrée dans l'ensemble du cycle de vie du développement logiciel, de la boucle interne de développement et de test, à la boucle externe d'expédition et de surveillance.

Suivre les meilleures pratiques de l'industrie pour la conduite de la chaîne d'approvisionnement logicielle est important car cela aide les organisations à protéger leurs logiciels contre les menaces de sécurité, les risques de conformité et autres vulnérabilités. La mise en œuvre d'un cadre de sécurité de la chaîne d'approvisionnement logicielle améliore la visibilité, la collaboration et la traçabilité d'un projet entre les parties prenantes. Cela aide les organisations à détecter, répondre et corriger les menaces plus efficacement.

Sécuriser la chaîne d'approvisionnement logicielle

La construction d'une chaîne d'approvisionnement logicielle sécurisée implique plusieurs étapes clés, telles que :

  • Identifier les composants logiciels et les dépendances que vous utilisez pour construire et exécuter vos applications.
  • Automatiser les tests de sécurité tout au long du cycle de vie du développement logiciel.
  • Surveiller votre chaîne d'approvisionnement logicielle pour les menaces de sécurité.
  • Mettre en œuvre des politiques de sécurité qui régissent la manière dont les logiciels sont construits, et les composants qu'il contient.

La gestion de la chaîne d'approvisionnement logicielle est une tâche complexe, en particulier à l'ère moderne où les logiciels sont construits à l'aide de plusieurs composants de différentes sources. Les organisations doivent avoir une compréhension claire des composants logiciels qu'elles utilisent, et des risques de sécurité qui leur sont associés.

En quoi Docker Scout est différent

Docker Scout est une plateforme conçue pour aider les organisations à sécuriser leur chaîne d'approvisionnement logicielle. Elle fournit des outils et des services pour identifier et gérer les actifs et les politiques logiciels, ainsi que la remédiation automatisée des menaces de sécurité.

Contrairement aux outils de sécurité traditionnels qui se concentrent sur des analyses planifiées à un instant T à des étapes spécifiques du cycle de vie du développement logiciel, Docker Scout utilise un modèle moderne piloté par les événements qui couvre l'ensemble de la chaîne d'approvisionnement logicielle. Cela signifie que lorsqu'une nouvelle vulnérabilité affectant vos images est divulguée, votre évaluation des risques mise à jour est disponible en quelques secondes, et plus tôt dans le processus de développement.

Docker Scout fonctionne en analysant la composition de vos images pour créer une Nomenclature Logicielle (SBOM). Le SBOM est croisé avec les avis de sécurité pour identifier les CVE qui affectent vos images. Docker Scout s'intègre avec plus de 20 avis de sécurité différents, et met à jour sa base de données de vulnérabilités en temps réel. Cela garantit que votre posture de sécurité est représentée à l'aide des dernières informations disponibles.

Nomenclature Logicielle (SBOM) »