From b19e1182cde3359cfa33a1d9e97789a2a1580800 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Thierry=20AIM=C3=89?= <thierry.aime@dgfip.finances.gouv.fr> Date: Mon, 21 Oct 2024 12:01:24 +0200 Subject: [PATCH] =?UTF-8?q?Ajout=20veille=20Fiabilit=C3=A9=20des=20d=C3=A9?= =?UTF-8?q?pots=20logiciels?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- README.md | 21 +++++++++++++++++++++ 1 file changed, 21 insertions(+) diff --git a/README.md b/README.md index d9545fe..30ce9ba 100644 --- a/README.md +++ b/README.md @@ -28,6 +28,27 @@ BY-SA 2.0 FR)](https://creativecommons.org/licenses/by-sa/2.0/fr/) # Présentation des veilles publiées +## Fiabilité des dépots logiciels + +Les systèmes d’information de l’administration font appel à de +nombreux logiciels libres. Que ceux-ci soient provisionnés +depuis les dépôts de distributions Linux ou soient incorporés +lors du développement d’applications métiers, sous forme de +bibliothèques provenant de dépôts spécialisés (Dépôt Javascript +NPM, dépôt Java avec Maven Central, dépôt Python, dépôt PHP, +dépôt Perl CPAN….), se pose la question de la sécurité de ces +codes. Cette étude à deux objectifs : +- Déterminer les critères de qualification des dépôts de code : +identifier les standards de sécurité et de fiabilité +nécessaires pour approuver un dépôt. Les mécanismes de +signature et vérification de signature sont déterminants pour +sécuriser le provisionnement des paquets. +- Identifier les outils capables de tracer les dépendances +formaliser ou non par le SBOM (Software Bill of Materials) et +de scaner les vulnérabilités connues. + +[EtudeSLL-Fiabilite_depots_logiciels-pub.odt](https://gitlab.adullact.net/marche-sll/etudes-de-veille/-/package_files/1109/download) + ## Tests automatisés La qualité des applications développées ne peut être assurée -- GitLab