Aller au contenu principal

SBOM (Software Bill of Materials)

La SBOM est l’inventaire formel de tous les composants d’un logiciel, dépendances comprises. Le Cyber Resilience Act en fait une exigence réglementaire.

La Software Bill of Materials, ou SBOM, est la nomenclature d’un logiciel : la liste formelle et machine-exploitable de tous les composants qui le constituent, bibliothèques open source, dépendances transitives, versions précises. Deux formats standards dominent, SPDX et CycloneDX, et les outils de SCA savent les générer automatiquement à partir du code ou des artefacts de build.

Son utilité éclate à chaque crise. Quand Log4Shell a été divulguée fin 2021, la question posée à toutes les DSI du monde était la même : « utilisons-nous Log4j, et où ? ». Les organisations qui disposaient de SBOM ont répondu en quelques minutes par une requête ; les autres ont passé des semaines à fouiller leurs applications une par une. La SBOM transforme la réaction à une vulnérabilité de dépendance en simple recherche dans un inventaire.

Le régulateur l’a bien compris : le Cyber Resilience Act impose aux fabricants de produits numériques vendus dans l’Union européenne d’établir et de maintenir une SBOM. Ce qui relevait de la bonne pratique devient une obligation légale.

Termes liés

Les définitions posent le vocabulaire, mais rien ne remplace un état des lieux concret. Si vous voulez savoir ce que ces concepts donnent sur votre propre périmètre, notre plateforme EASM cartographie votre surface d’attaque externe à partir d’un simple nom de domaine, et notre équipe répond sous 24 heures via la page contact.

    SBOM : définition | own2pwn