Introduction
Le 22 août 2025, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a publié le projet des éléments minimaux 2025 pour une nomenclature logicielle (SBOM). Cette mise à jour s'appuie sur le cadre 2021 de la NTIA et reflète à quel point SBOM standardLes systèmes d'exploitation ont atteint leur maturité. Pour les développeurs et les équipes de sécurité, c'est un tournant. Surtout, les nouveaux CISA SBOM changements d'orientation SBOMdes listes de contrôle statiques aux outils pratiques qui renforcent la gestion des risques logiciels et protègent la chaîne d'approvisionnement logicielle.
Le projet officiel est disponible sur CISComme SBOM page de ressources et peut être téléchargé directement en tant que PDF.
CISA SBOM vs. NTIA 2021 : pourquoi la mise à jour est importante
L'ouverture a NTIA SBOM Éléments minimaux (2021) a créé une base de référence en matière de transparence. À cette époque, l'adoption était limitée et l'outillage était immatureAvance rapide, SBOMsont désormais attendus par les agences et enterprises, avec CI/CD l'intégration et l'automatisation deviennent la norme.
Le CISA SBOM Les Éléments Minimums 2025 soulignent cette évolution. En fait, ils placent la barre plus haut pour SBOM standarden exigeant des données plus riches, davantage d'automatisation et des informations exploitables que les équipes peuvent utiliser pour une gestion continue des risques logiciels.
Quoi de neuf dans le CISA SBOM Éléments minimaux 2025
| Élément | NTIA 2021 | CISA SBOM 2025 | Impact pratique pour les équipes |
|---|---|---|---|
| Hachage des composants | Non défini | Ajouté (intégrité cryptographique) | Vérifier les artefacts et détecter les falsifications ; par conséquent, appliquer la validation de la somme de contrôle/signature dans CI/CD. |
| License | Non défini | Ajouté (risque juridique et de support) | Automatisez la conformité des licences OSS ; de plus, bloquez les licences incompatibles au moment de la PR ou de la construction. |
| Nom de l'outil | Non défini | Ajouté (transparence du générateur) | Tracer SBOM provenance ; par conséquent, standardiser SBOM outillage générateur par pipeline. |
| Contexte de génération | Non défini | Ajouté (pré-construction / temps de construction / post-construction) | Choisissez la bonne étape pour SBOM création. Par exemple, le temps de construction SBOMs améliore la reproductibilité, tandis que la post-construction SBOMs capture les artefacts déployés pour la sécurité opérationnelle. |
| Producteur de logiciels | « Nom du fournisseur » | Renommé et clarifié | Réduisez l'ambiguïté en matière de propriété ; pour clarifier, associez le producteur à votre entité juridique. SBOM métadonnées. |
| Territoire desservi | « Profondeur » (limitée) | Couverture complète (directe + transitive) | Assurez-vous que les graphiques de dépendance sont complets ; par conséquent, incluez les transitifs des fichiers de verrouillage et des manifestes. |
| Inconnues connues | Manipulation vague | Explicite (manquant ou expurgé) | Signalez les lacunes de manière transparente ; en outre, ouvrez des suivis pour résoudre les données de composants manquantes. |
Pourquoi ces mises à jour sont importantes pour la gestion des risques logiciels
Le nouveau système d’ SBOM Éléments minimaux tourner SBOMs en outils pratiques de gestion des risques. De plus, ils s'intègrent directement dans le moderne gestion des risques logiciels en aidant les organisations :
- Vérifiez l’intégrité avec des hachages pour détecter toute falsification.
- Trouvez les vulnérabilités plus rapidement en créant des liens SBOMs avec les avis VEX et CSAF.
- Automatisez les contrôles de licence pour réduire les risques juridiques.
- Concentrez les correctifs sur les dépendances réellement utilisées.
- Mises à jour SBOMs pour chaque version et chaque fois que de nouveaux détails apparaissent.
- Share SBOMs facilement via des API, des référentiels ou des URL versionnées pour évoluer dans DevOps.
En conséquence, SBOMLes documents deviennent des documents évolutifs qui assurent une protection continue. Enfin, ce modèle est conforme aux réglementations clés telles que EO 14028 (États-Unis), lignes directrices du NIST, stratégie de cybersécurité de l'UE, directives de la FDA, et CMMC.
Se conformer à CISA SBOM conseils en DevOps pipelines
Pour suivre la nouvelle CISA SBOM Éléments minimaux, les organisations doivent ajuster à la fois les processus et les outils :
- Automatisez SBOM génération pour chaque version dans CI/CD.
- Couvrir les dépendances directes et indirectes.
- chaise Inconnues connues clairement.
- Réviser SBOMs lorsque de nouvelles informations apparaissent.
- Share SBOMvia des API, des référentiels ou des URL.
- Confirmez l'authenticité avec des signatures en utilisant SPDX et CycloneDX SBOM standards.
Par conséquent, la conformité signifie construire SBOM dans les workflows de développement plutôt que de l'ajouter à la fin. De plus, cela garantit que les développeurs, les équipes de sécurité et les responsables de la conformité partagent une vision unique et fiable des risques logiciels.
Comment Xygeni aide les équipes à atteindre et à dépasser leurs objectifs CISA SBOM standards
Xygéni rend conforme à la CISA SBOM Éléments minimaux transparente et étend leur valeur avec des capacités de sécurité plus approfondies :
- CI/CD l'intégration: Automatisez SBOM génération dans SPDX et CycloneDX pour chaque pipeline.
- Enrichissement: Ajoutez des hachages, des licences et des métadonnées d’outils pour une visibilité complète.
- Rapports de divulgation de vulnérabilité (VDR): Lien SBOM données avec vulnérabilités en direct, impacts et stratégies de correction.
- Priorisation: Combinez l'analyse d'accessibilité avec Notation EPSS se concentrer sur les vulnérabilités les plus susceptibles d’être exploitées.
- Système d'alerte précoce: Détectez les packages suspects dans les registres avant qu'ils n'impactent les builds.
- Portails de conformité : Imposer SBOM s'enregistre pull requests et construit, bloquant les fusions non sécurisées.
- Secrets et détection de logiciels malveillants : étendre SBOMs avec une visibilité sur les secrets intégrés ou les modèles de code malveillants.
- Réparation automatique de l'IA: Générer en toute sécurité pull requests avec des correctifs contextuels, tournant SBOM conclusions en mesures correctives immédiates.
- Validation: Assurez-vous que chaque SBOM est signé, traçable et fiable.
De plus, l'intégration SBOM L'intégration de la génération, de la validation et de la correction dans les workflows des développeurs transforme la conformité en une gestion proactive des risques logiciels. Surtout, elle permet aux équipes de prévenir les risques avant leur mise en production et de démontrer leur maturité lors des audits.
Regardez comment Xygeni génère SBOMs dans votre pipeline
Conclusion
Le CISA SBOM Éléments minimaux 2025 montre CA SBOMLes technologies de l'information sont désormais un élément essentiel de la sécurité moderne. En améliorant SBOM standards et les ajouter directement au développement pipelines, CISA garantit que les organisations peuvent atteindre la clarté, l'automatisation et la continuité gestion des risques logiciels.
Ainsi, les équipes qui adoptent ces pratiques gagnent non seulement en conformité, mais aussi en résilience. Avec Xygeni, vous pouvez créer des environnements conformes. SBOMs, ajoutez un contexte utile et sécurisez votre pipelines sans ralentir le développement.
Réservez votre démo aujourd'hui et voyez comment Xygeni fait CISA SBOM conformité simple.
