Votre organisation prend-elle au sérieux la sécurité des dépendances tierces ? Votre équipe CISO/SecOps vous pose-t-elle des questions sur la santé de l'open source ? La complexité de votre environnement applicatif rend-elle difficile la compréhension des modules, widgets et bibliothèques Java utilisés à tel ou tel endroit ? Alors, continuez à lire !
Mendix est fier d'annoncer Composition du logiciel, une fonctionnalité récemment publiée qui fournit un inventaire précis des dépendances des composants des applications et du paysage applicatif. La composition logicielle est un élément fondamental pour améliorer votre posture de sécurité.
Anatomie d'un Mendix Application
Commençons par les bases. UN Mendix Le créateur crée des pages, des modèles de domaine, des microflux, des nanoflux, des modules personnalisés et plus encore pour créer un Mendix application. Ceci s'appelle le Mendix Modèle. Le Mendix Le modèle peut être étendu avec du java personnalisé et du script java si nécessaire. Tous ces éléments sont créés par le créateur de l'application et sont marqués dans noir colorie l'illustration ci-dessous.
Lorsque Java ou JavaScript personnalisé est utilisé pour étendre le Mendix Des modèles, des bibliothèques Java et des packages npm peuvent être ajoutés au Mendix application. Composants pré-construits et réutilisables tels que des modules et des widgets de Mendix Annonces peut également être utilisé pour booster votre application. Enfin, le bon Mendix La version d'exécution permettra d'exécuter l'application. Toutes ces dépendances tierces sont illustrées dans Bleu couleur ci-dessous. Ces dépendances tierces peuvent être maintenues par Mendix, sa communauté ou ses partenaires.

Défi
Au fil du temps, les dépendances tierces peuvent devenir obsolètes, vulnérables ou non préférées, en fonction des règles de qualité et de sécurité de votre entreprise. Par conséquent, la visibilité sur ces dépendances tierces est essentielle pour gérer efficacement la qualité et la sécurité de votre environnement applicatif.
Ce besoin devient plus prononcé à mesure que le nombre d'applications dans le paysage augmente. Un emplacement central pour visualiser les composants du paysage applicatif devient essentiel pour gérer les risques de sécurité du paysage.
Présentation de la composition logicielle
Pour permettre cette visibilité, Mendix sera générer une nomenclature logicielle (SBOM). Un SBOM est un fichier .json créé au format Cyclone DX qui résume les dépendances tierces utilisées dans le logiciel. Le SBOM sera composé de modules de marché standard, de widgets, de bibliothèques Java, de bibliothèques npm et de la version d'exécution, en fonction de la prise en charge de la version Studio ProLes SBOM peuvent être générés à l'aide de MxBuild.
Mendix générera automatiquement des SBOM sous le capot pour les nouveaux packages de déploiement avec les versions Studio Pro 9.24.22 et supérieures, 10.6.9 et supérieures et 10.10.0 et supérieures pour les modèles de déploiement cloud gratuits, cloud public et dédiés au cloud et les rendra disponibles en téléchargement.
Mais ne vous inquiétez pas, vous n'avez pas besoin d'analyser les fichiers .json pour obtenir une visibilité. Vous pouvez facilement afficher le contenu du SBOM sur la page Composition du logiciel dans Control Center et mes Mendix Portail d'une manière facile à utiliser. Dans Control Center, la visibilité de la composition logicielle s'étend à l'ensemble du paysage applicatif. Mendix Portail, la visibilité est pour chaque application.
Sur la page Composition du logiciel du Centre de contrôle, vous pouvez effectuer les opérations suivantes :
- Afficher la composition logicielle de chaque environnement d'application
- Téléchargez le SBOM ou exportez via Excel
- Affichez la liste de tous les composants uniques utilisés dans votre environnement applicatif. Pour chaque composant, il est également possible d'afficher le nombre d'applications et d'environnements qui l'utilisent.


Une visibilité similaire est disponible dans Mendix portail. La composition logicielle de chaque nouveau package de déploiement est disponible. Des informations exploitables liées aux dépendances des composants et d'autres améliorations seront bientôt disponibles, restez à l'écoute. Suivez les notes de publication pour Control Center et mes Mendix Portail pour en savoir plus sur les améliorations futures !
Commence dès maintenant!
Vous êtes impatient ? Voici quelques conseils pratiques pour commencer.
Assurez-vous de répondre aux prérequis
La visibilité sur la composition logicielle est disponible pour les versions 9.24.22 et supérieures, 10.6.9 et supérieures, et 10.10.0 et supérieures pour les modèles de déploiement cloud gratuits, cloud publics et cloud dédiés. Les packages de déploiement nouvellement créés auront des SBOM et une visibilité associée sur la page Composition logicielle. Pour obtenir la visibilité sur la composition logicielle, assurez-vous de mettre à niveau votre Studio Pro selon vos besoins et de créer de nouveaux packages de déploiement.
Vérifiez les vulnérabilités et déterminez leur rayon d'impact
Mendix publie des avis de sécurité pour ses composants. Vérifiez l'onglet Tous les composants sur la page Composition du logiciel pour voir si vous utilisez un composant vulnérable et pour identifier son rayon d'impact.
Par exemple, nous avons émis avis de sécurité CVE-2023-27464 (avec une note de 5.3 sur 10) pour le Module Mot de passe oublié. Dans l'onglet Tous les composants, vous pouvez déterminer le nombre d'applications qui utilisent le module Mot de passe oublié. Vous pouvez également voir des détails supplémentaires sur les applications consommatrices, telles que les noms des applications, les environnements affectés, le contact technique, etc. Utilisez ces informations pour analyser le rayon d'impact de la vulnérabilité. Ensuite, conseillez aux équipes concernées de prendre les mesures correctives répertoriées dans l'avis de sécurité.
Surveillez le respect de vos consignes de qualité et de sécurité
Il se peut que vous ayez des directives d'entreprise concernant les composants à utiliser. (Par exemple, les composants qui utilisent un type de licence non autorisé ne doivent pas être utilisés). Obtenir une visibilité sur votre application et l'inventaire de votre paysage applicatif est une première étape pour vérifier la conformité à ces règles.
Alors n'attendez plus, lancez-vous dès maintenant et gérez les risques de sécurité en toute simplicité. Sensibilisez à la sortie de Software Composition pour avoir une véritable compréhension de votre inventaire de composition logicielle !