SBOM

Selon ENISA (Agence de l’Union européenne pour la cybersécurité), ce document v1.1 publié en mars 2026 fournit un avis technique pour sécuriser la consommation de paquets dans les écosystèmes logiciels (npm, pip, Maven, etc.), en couvrant les risques, les menaces supply chain et des recommandations opérationnelles pour les développeurs. • Panorama des risques et du contexte Le guide distingue deux grandes familles de risques: vulnérabilités inhérentes aux paquets (mauvaises pratiques de codage, projets abandonnés) et attaques de la supply chain (insertion de paquets malveillants, compromission de paquets légitimes, typosquatting, namespace/dependency confusion). Il illustre l’ampleur potentielle via des exemples concrets (ex.: incident npm touchant des paquets à très fort volume de téléchargements; vulnérabilité critique React CVE-2025-55182) et rappelle l’effet de cascade sur des millions de projets. • Menaces supply chain mises en avant ⚠️ ...

Billet de blog technique signé par William Beasley (mis à jour le 2 décembre 2025), présentant deux outils de Raspberry Pi — rpi-image-gen et rpi-sb-provisioner — visant à passer du prototype à un système de production reproductible et sécurisé. • rpi-image-gen: l’outil assemble des images Linux Debian via mmdebstrap en combinant des profils descriptifs, des « image layouts » et des fichiers de configuration YAML. Il privilégie les binaires précompilés pour accélérer les builds (quelques minutes) et simplifier la maintenance, tout en permettant des paquets sur mesure (ex. noyau custom en amont). Une fois le système de fichiers finalisé, Syft génère une SBOM pour l’audit de sécurité et l’alimentation d’outils externes de scan CVE. Les couches définissent paquets/commandes et variables (avec validation regex) afin d’éviter les mauvaises configurations. ...