Sitaram Iyer, Global Security Architect chez Venafi commente :
« À bien des égards, Colonial Pipeline a donné au gouvernement américain le coup de pouce dont il avait besoin pour commencer à prendre au sérieux la cybersécurité dans les infrastructures essentielles. Le piratage était si grave qu’il a été considéré comme une menace à la sécurité nationale, forçant le président Biden à déclarer l’état d’urgence national.

Des mesures importantes ont été prises par l’administration Biden à la suite du piratage du pipeline colonial, notamment l’introduction d’une Charte des matériaux logiciels – SBOM – pour déclarer la provenance des logiciels, en décrivant d’où proviennent tous les différents élémentsBien que les SBOMs soient un pas utile dans la bonne direction, ils ne sont pas une solution complète à la sécurité de la chaîne d’approvisionnement des logiciels. La recherche montre que 92 % des applications contiennent des composants open source – cela fait tourner le monde.

Pourtant, le simple fait d’énumérer ces composants dans un SBOM ne signifie pas nécessairement que tous les autres composants de la chaîne d’approvisionnement logicielle peuvent faire confiance. Même si chaque entreprise produisait un SBOM pour chaque logiciel qu’elle construit aujourd’hui, il y a beaucoup d’autres éléments du développement logiciel et des processus de construction qui doivent être sécurisés.

Dans un monde idéal, les entreprises déploieraient des politiques de confiance zéro et vérifieraient les logiciels tiers qu’elles utilisent. Ils examineraient également la composition du logiciel qu’ils utilisent et évalueraient également la provenance, ainsi que la façon dont le logiciel est construit et déployé. Il s’agit d’un ensemble de défis extrêmement complexes pour chaque entreprise. »