SIDO - OSXP 2021

Vous devez être inscrit et connecté pour accéder à cette fonctionnalité

Description

Un des principes les plus répandus dans l'ingénierie est celui de "ne pas réinventer la roue" ; il est d'autant plus important et courant dans le domaine de l'informatique. Aujourd'hui, de plus en plus de projets se trouvent avec des dépendances Open Source, mais avec la facilité d'utiliser une librairie maintenue par toute une communauté vient aussi la responsabilité de s'assurer que cette librairie ne contient pas de failles de sécurité connues, et qu'elle est compatible avec le reste du projet en termes de licences. Ainsi, cela nous mène à devoir faire une analyse SCA (Software Composition Analysis), qui consiste principalement en deux parties : la production d'une SBOM (Software Bill Of Materials) afin de détailler l'arbre des dépendances et les informations de licences de chaque logiciel utilisé dans le projet, et aussi la production d'un rapport de vulnérabilités de ces dépendances, afin d'avertir les utilisateurs en ce qui concerne les CVEs publiés pour un logiciel donné. Chez AdaCore, nous avons décidé de faire cela avec deux projets Open Source : ScanCode Toolkit et VulnerableCode. Après avoir examiné les leaders du marché, en recherchant une solution "plug-and-play" qui nécessiterait peu de maintenance, nous avons trouvé que les équivalents Open Source sont, dans notre cas, plus adaptés et plus flexibles. Dans cette présentation, je partagerai les résultats de cette analyse, et j'expliquerai comment nous mettons en œuvre ces solutions en pratique.

Analyse de la composition logicielle à l’aide d’outils open source

10th Nov, 09:50 CET - 10:10 CET

Présentée par

Sessions Recommandées