Le 1er juin dernier se déroulait une journée organisé par le Hub Open Source sur la Sécurité de la supply chain logicielle & la gestion des dépendances Open Source
La chaîne d’approvisionnement en logiciels est le processus par lequel les logiciels sont développés, distribués, exploités et maintenus. Avec l’utilisation croissante de logiciels et composants logiciels open source, le développement logiciel moderne est devenu plus rapide et plus complexe.
Les attaques récentes sur l’intégrité de la chaîne de production logicielle (Log4shell, SolarWinds) ont mené à une prise de conscience globale des risques associés. Le hub Open Source et ses partenaires ont organisé une journée dédiée à la présentation d’outils et de pratiques pour sécuriser la chaîne d’approvisionnement logicielle, avec des retours d’expérience sur leurs utilisations.
The software supply chain is a complex ecosystem which presents various security risks, as each component can be a potential target for attackers to compromise the confidentiality, integrity, and availability of software products.
Viswanath S Chirravuri
La journée s’est partagée entre keynote, retours d’expériences, recommandations et découverte d’outils :
[Keynote THALES] “Demystifying software supply chain security – Old wine in a new bottle”
[REX SNCF] La supply chain de conteneurisation sur les rails
Thomas Comtet, Responsable de la plateform Team Conteneurisation – e.SNCF solutions
Julien Guyaud, Product owner des offres de conteneurisation – e.SNCF solutions
[REX CS GROUP] Industrialisation du maintien en condition de sécurité d’un système d’exploitation
Thomas Andrejak, Directeur Technique de la BU Défense, créateur de SEDUCS – CS GROUP
[REX Eclipse Foundation] Construire le binaire Java le plus sécurisé au monde
Mikaël Barbero, Head of Security, Eclipse Foundation
[Recommandations DGA] Menaces sur la chaîne de production logicielle
Christophe Cleraux, Chef de département eXpertise Evaluation de Logiciel (XEL)
[Présentation]_Supply_Chain_Security_Christophe Claireaux_01062023
[REX La Poste Groupe] Apps, enfilez votre armure !
Carmen Piciorus, Concepteur de développement – La Poste Groupe
[Outils académiques] Building a safe(r) open source supply chain on top of the Software Heritage rock
Stefano Zacchiroli, full professor of computer science, Télécom Paris, Polytechnic Institute of Paris
[Outils académiques] Voyage au cœur des attaques contre la supply chain des logiciels libres
Olivier Barais, Professeur des Universités, Université de Rennes, Responsable équipe Projet IRISA/INRIA DiverSE
Découvrez la synthèse des différents outils présentés au cours de cette journée :
- gestion et recherche de vulnérabilités,
- audit de repository,
- framework de sécurité d’un artifact construit,
- sécurisation des Actions GitHub,
- …
Article proposé par Parsec, membre de Systematic Paris-Region.
Plus d’informations sur le Hub Open Source
Suivez nous sur Twitter!