Luis Soeiro et le défi des SBOM publics !
Luis Soeiro est doctorant à l’IMT Atlantique au sein de la Chaire Cyber CNI. Son sujet : la sécurité des chaînes logicielles. Il s’est récemment penché sur un outil encore peu étudié, mais crucial pour la cybersécurité : les SBOMs – Software Bills of Materials.
Qu’est-ce qu’un SBOM ?
Un Software Bills of Materials (SBOM) est une liste. Il recense tout ce qu’un logiciel contient :
- les composants open source,
- leurs versions,
- leur origine,
- et parfois des éléments de vérification.
C’est un peu comme l’étiquette d’un produit alimentaire. Cela permet de savoir ce que l’on installe. Et donc de mieux réagir en cas de faille. Mais aujourd’hui, que sait-on vraiment des SBOMs utilisés dans les projets open source ? Peu de choses. Et encore moins de manière systématique.
Une recherche à très grande échelle
C’est pour répondre à cette question que Luis Soeiro a lancé une exploration ambitieuse.
Tout d’abord, il a recherché dans les archives de Software Heritage (https://www.softwareheritage.org/), la plus grande collection de codes source existante, avec plus de 24 milliards de fichiers source, les fichiers susceptibles d’être des SBOM. Ensuite, il a téléchargé plus de 21 millions de fichiers candidats et les a testés pour trouver plus de 78 000 fichiers SBOM uniques.
Ce travail a permis de construire la plus grande base de données de SBOMs publics au monde.
Chaque fichier a été évalué selon plusieurs critères :
- le format utilisé (CycloneDX, SPDX…),
- la qualité globale,
- la provenance,
- et les métadonnées disponibles.
Ce projet a été présenté à la conférence MSR 2025, évènement international organisé par l’IEEE (Institute of Electrical and Electronics Engineers) et l’ACM (Association for Computing Machinery).
Ce que révèlent ces SBOMs
Les résultats sont riches d’enseignements. D’abord, on trouve de plus en plus de SBOMs dans les dépôts publics. C’est un bon signe. Cela montre une prise de conscience. Mais la qualité est encore très variable, en effet, certains fichiers sont complets et bien formatés. D’autres sont incomplets, voire inutilisables. Enfin, on constate une grande diversité de formats. Cela complique l’automatisation et les vérifications. Il devient donc difficile de s’appuyer sur ces fichiers pour faire des analyses de sécurité fiables.
Pourquoi est-ce important ?
De nombreuses attaques récentes l’ont montré. La chaîne d’approvisionnement logicielle est une cible.
Il est essentiel de savoir ce qu’un logiciel contient.
Un SBOM fiable permet de :
- détecter des versions vulnérables,
- évaluer la confiance dans les composants,
- vérifier les dépendances logicielles.
Grâce au travail de Luis Soeiro, la communauté dispose enfin d’un jeu de données concret. Il sera utile à la fois pour la recherche, pour les développeurs et pour les responsables cybersécurité.
Un projet au croisement de la recherche et de la pratique
Ce projet est un bel exemple de recherche appliquée. Il combine l’analyse de données massives, la compréhension des standards, et la mise en perspective des enjeux de cybersécurité.
La Chaire Cyber CNI et l’IMT Atlantique soutiennent cette approche, visant à produire des outils concrets pour répondre à des défis réels. Ici, en éclairant l’écosystème SBOM, elle contribue à améliorer la transparence dans le monde logiciel.
- Luis Soeiro and the challenge of public SBOMs ! - June 11, 2025
- Luis Soeiro et le défi des SBOM publics ! - June 11, 2025
- MSR 2025: recognition for Luis Soeiro and the CNI Cyber Chair - June 5, 2025
