Pourquoi ne puis-je pas savoir si ce qui s'exécute correspond à ce que ma SBOM a déclaré ?
Opportunity
Les SBOM sont générées au moment de la compilation et décrivent ce qu'un build prétendait contenir. Au moment où le logiciel est déployé et en cours d'exécution, les dépendances peuvent avoir dérivé, les bibliothèques liées statiquement ne laissent aucune trace à l'exécution, et il n'existe aucune primitive standard pour vérifier qu'un processus en cours correspond à sa nomenclature de composants déclarée. L'analyse IBM 2025 portant sur plus de 35 000 SBOM a révélé que 7 907 d'entre elles n'avaient pas divulgué leurs dépendances directes, et le guide de mise en oeuvre ENISA de décembre 2025 identifie la dérive à l'exécution comme l'une des lacunes fondamentales. L'écart entre une SBOM signée et un conteneur en cours d'exécution n'est actuellement comblé que par la confiance.
Why it matters
Les réglementations de l'UE et des États-Unis imposent désormais les SBOM, mais sans attestation d'exécution, elles restent un artefact d'audit et non un contrôle de sécurité.
Comment j'évalue l'opportunité
The Opportunity Score is my own read, not a measurement: how much it hurts, how often it bites, and how little exists to solve it today. Higher means I think it is more worth building.
How much pain it causes when it shows up.
How often people actually run into it.
How little good tooling exists for it today.
D'autres problèmes qui méritent d'être résolus
Pourquoi le logiciel dont nous dépendons le plus est-il le plus difficile à utiliser ?
TechPourquoi ne suis-je toujours pas propriétaire des données que je génère ?
TechPourquoi ne puis-je pas obtenir un reçu prouvant que mes données ont bien été supprimées ?
TechPourquoi chaque chaîne de provenance C2PA se rompt-elle dès que le contenu atteint les réseaux sociaux ?
TechPourquoi les logiciels open source critiques dépendent-ils encore d'un seul mainteneur épuisé ?
TechPourquoi n'existe-t-il aucune voie de récupération lorsqu'une violation divulgue mes données biométriques ?