SBOM (Software Bill of Materials)
La SBOM est l’inventaire formel de tous les composants d’un logiciel, dépendances comprises. Le Cyber Resilience Act en fait une exigence réglementaire.
La Software Bill of Materials, ou SBOM, est la nomenclature d’un logiciel : la liste formelle et machine-exploitable de tous les composants qui le constituent, bibliothèques open source, dépendances transitives, versions précises. Deux formats standards dominent, SPDX et CycloneDX, et les outils de SCA savent les générer automatiquement à partir du code ou des artefacts de build.
Son utilité éclate à chaque crise. Quand Log4Shell a été divulguée fin 2021, la question posée à toutes les DSI du monde était la même : « utilisons-nous Log4j, et où ? ». Les organisations qui disposaient de SBOM ont répondu en quelques minutes par une requête ; les autres ont passé des semaines à fouiller leurs applications une par une. La SBOM transforme la réaction à une vulnérabilité de dépendance en simple recherche dans un inventaire.
Le régulateur l’a bien compris : le Cyber Resilience Act impose aux fabricants de produits numériques vendus dans l’Union européenne d’établir et de maintenir une SBOM. Ce qui relevait de la bonne pratique devient une obligation légale.