Dans un monde o\u00f9 de plus en plus d’organisations adoptent des composants open source comme \u00e9l\u00e9ments fondamentaux de l’infrastructure de leurs applications, il est difficile de consid\u00e9rer les SCA traditionnels comme des m\u00e9canismes de protection complets contre les menaces open source. <\/p>\n
L’utilisation de biblioth\u00e8ques open source permet d’\u00e9conomiser des tonnes de temps de codage et de d\u00e9bogage, et par l\u00e0 m\u00eame, de r\u00e9duire le temps de livraison de nos applications. Mais comme les bases de code sont de plus en plus compos\u00e9es de logiciels open source, il est temps de respecter l’ensemble de la surface d’attaque – y compris les attaques contre la cha\u00eene d’approvisionnement elle-m\u00eame – lors du choix d’un logiciel open source. Plateforme SCA<\/b><\/a> d\u00e9pendre de.<\/p>\n Lorsqu’une entreprise ajoute une biblioth\u00e8que open source, elle ajoute probablement non seulement la biblioth\u00e8que \u00e0 laquelle elle avait l’intention, mais \u00e9galement de nombreuses autres biblioth\u00e8ques. Cela est d\u00fb \u00e0 la fa\u00e7on dont les biblioth\u00e8ques open source sont construites\u00a0: comme toutes les autres applications de la plan\u00e8te, elles visent une rapidit\u00e9 de livraison et de d\u00e9veloppement et, en tant que telles, s’appuient sur du code construit par d’autres personnes – c’est-\u00e0-dire d’autres biblioth\u00e8ques open source. .<\/p>\n Les termes r\u00e9els sont une d\u00e9pendance directe – un package que vous ajoutez \u00e0 votre application et une d\u00e9pendance transitive – qui est un package ajout\u00e9 implicitement par vos d\u00e9pendances. Si votre application utilise le package A et que le package A utilise le package B, alors votre application indirectement d\u00e9pend<\/strong> sur le colis B.<\/p>\n Et si le package B est vuln\u00e9rable, votre projet l\u2019est \u00e9galement. Ce probl\u00e8me a donn\u00e9 naissance au monde des SCA (plateformes d’analyse de composition logicielle) qui peuvent aider \u00e0 d\u00e9tecter les vuln\u00e9rabilit\u00e9s et \u00e0 sugg\u00e9rer des correctifs.<\/p>\n Cependant, les SCA ne r\u00e9solvent que le probl\u00e8me des vuln\u00e9rabilit\u00e9s. Qu\u2019en est-il des attaques contre la cha\u00eene d\u2019approvisionnement ? <\/p>\n Les attaques contre la cha\u00eene d\u2019approvisionnement logicielle sont en augmentation.<\/p>\n Selon Les pr\u00e9dictions de Gartner<\/a>d’ici 2025, 45% des organisations<\/em><\/strong> sera affect\u00e9. Les outils traditionnels d\u2019analyse de la composition logicielle (SCA) ne suffisent pas, et il est temps d\u2019agir maintenant. <\/p>\n T\u00e9l\u00e9chargez notre aide-m\u00e9moire pour d\u00e9couvrir les cinq types d’attaques critiques de la cha\u00eene d’approvisionnement et mieux comprendre les risques. Mettez en \u0153uvre les 14 bonnes pratiques r\u00e9pertori\u00e9es \u00e0 la fin de l\u2019aide-m\u00e9moire pour vous en d\u00e9fendre. <\/p>\n \ud83d\udd17 T\u00e9l\u00e9chargez l’aide-m\u00e9moire maintenant<\/b><\/a><\/p>\n<\/div>\n Il n’est peut-\u00eatre pas \u00e9vident de savoir ce que nous entendons par risque “inconnu”<\/b><\/a>. Avant de plonger dans la diff\u00e9renciation, consid\u00e9rons d’abord la diff\u00e9rence entre les vuln\u00e9rabilit\u00e9s et les attaques\u00a0:<\/p>\n Un risque inconnu est, presque par d\u00e9finition, une attaque<\/strong> sur la cha\u00eene d’approvisionnement qui n’est pas facilement d\u00e9tectable par votre plateforme SCA. <\/p>\n Les outils SCA peuvent sembler r\u00e9soudre le probl\u00e8me de votre protection contre les risques li\u00e9s \u00e0 la cha\u00eene d’approvisionnement, mais ils ne r\u00e9pondent \u00e0 aucun des risques inconnus (y compris toutes les attaques majeures de la cha\u00eene d’approvisionnement) et vous exposent \u00e0 l’un des \u00e9l\u00e9ments les plus critiques de votre infrastructure. <\/p>\n Une nouvelle approche est donc n\u00e9cessaire pour att\u00e9nuer les risques connus et inconnus dans le paysage en constante \u00e9volution de la cha\u00eene d\u2019approvisionnement. Ce guide<\/b><\/a> passe en revue tous les risques connus et inconnus de votre cha\u00eene d’approvisionnement, sugg\u00e8re une nouvelle fa\u00e7on de voir les choses et fournit une excellente r\u00e9f\u00e9rence (ou introduction !) au monde des risques de la cha\u00eene d’approvisionnement.<\/p>\nL’impact d’une d\u00e9pendance<\/strong><\/h2>\n
Aide-m\u00e9moire sur les meilleures pratiques en mati\u00e8re de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/h2>\n
Attaques VS. Vuln\u00e9rabilit\u00e9s<\/strong><\/h2>\n
Une vuln\u00e9rabilit\u00e9 :<\/span><\/h3>\n
\n
\n
Une attaque contre la cha\u00eene d\u2019approvisionnement\u00a0:<\/span><\/h3>\n
\n
\n
Les outils SCA ne suffisent pas !<\/strong><\/h2>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-risques-inconnus-de-la-chaine-dapprovisionnement-logicielle-une-analyse.gif\")