Ajout veille Fiabilité des dépots logiciels

b19e1182 · Thierry AIMÉ · f725bf43 · b19e1182
Commit b19e1182 authored 5 months ago by Thierry AIMÉ
--- a/README.md
+++ b/README.md
@@ -28,6 +28,27 @@ BY-SA 2.0 FR)](https://creativecommons.org/licenses/by-sa/2.0/fr/)

 # Présentation des veilles publiées

+## Fiabilité des dépots logiciels
+
+Les systèmes d’information de l’administration font appel à de
+nombreux logiciels libres. Que ceux-ci soient provisionnés
+depuis les dépôts de distributions Linux ou soient incorporés
+lors du développement d’applications métiers, sous forme de
+bibliothèques provenant de dépôts spécialisés (Dépôt Javascript
+NPM, dépôt Java avec Maven Central, dépôt Python, dépôt PHP,
+dépôt Perl CPAN….), se pose la question de la sécurité de ces
+codes. Cette étude à deux objectifs :
+- Déterminer les critères de qualification des dépôts de code :
+identifier les standards de sécurité et de fiabilité
+nécessaires pour approuver un dépôt. Les mécanismes de
+signature et vérification de signature sont déterminants pour
+sécuriser le provisionnement des paquets.
+- Identifier les outils capables de tracer les dépendances
+formaliser ou non par le SBOM (Software Bill of Materials) et
+de scaner les vulnérabilités connues.
+
+[EtudeSLL-Fiabilite_depots_logiciels-pub.odt](https://gitlab.adullact.net/marche-sll/etudes-de-veille/-/package_files/1109/download)
+
 ## Tests automatisés 

 La qualité des applications développées ne peut être assurée