Dans le monde actuel, où tout, des machines à café aux équipements industriels, est connecté au réseau, connaître et évaluer la sécurité de vos logiciels et de leurs dépendances n’a jamais été aussi crucial. La plupart des vulnérabilités proviennent de petits bogues dans des composants logiciels, et plus récemment (bien que plus rarement) d’attaques sophistiquées sur la chaîne d’approvisionnement. Mais dès lors que les appareils sont exposés à Internet, ces bogues peuvent devenir des portes d’entrée pour des attaquants situés à l’autre bout du monde.
Les systèmes modernes reposent également sur une large base de composants open source : bibliothèques, noyaux, outils de compilation et dépendances tierces qui constituent une part importante de l’image finale du firmware. Si l’open source accélère l’innovation et permet de mutualiser les coûts de développement, il introduit aussi un flux continu de mises à jour en amont et de divulgations de vulnérabilités que les équipes doivent suivre et gérer.
Les SBOMs (Software Bill of Materials) se sont imposés comme une bonne pratique pour rendre transparente la composition logicielle. Toutefois, l’analyse des SBOMs à la recherche de vulnérabilités est souvent plus difficile qu’elle ne devrait l’être, en particulier dans les environnements embarqués, où de nombreux concepteurs de produits manquent d’expertise en cybersécurité et des ressources nécessaires pour réaliser des audits complets sans outils automatisés.
De plus, le Cyber Resilience Act (CRA) de l’Union Européenne impose aux fabricants de produits connectés avec des éléments numériques de créer et maintenir une Software Bill of Materials documentant les composants et vulnérabilités, et servant de base à un suivi continu à mesure que de nouveaux problèmes émergent. Bien que la divulgation publique ne soit pas obligatoire, les fabricants doivent fournir ces informations aux autorités de surveillance du marché sur demande.
C’est pourquoi nous avons créé VulnScout : pour aider les organisations à répondre à leurs besoins en matière de sécurité et de conformité pour les systèmes embarqués qu’elles développent.
VulnScout est un scanner de vulnérabilités basé sur les SBOMs, conçu pour être convivial pour les développeurs et simple à intégrer avec Yocto, Buildroot et la plupart des systèmes générant des SBOMs. Il prend en charge les formats SPDX, CycloneDX et OpenVEX, ce qui permet une détection et une exploration simplifiées des vulnérabilités au niveau de la compilation, avec un minimum de configuration et de mise en place. Il comble ainsi le fossé entre les outils de cybersécurité et le développement logiciel au quotidien, notamment dans les projets comportant des dizaines voire des centaines de dépendances open source.
[L’introduction est en français, le reste du texte en anglais]
Many existing tools are excellent at what they do, but they often come with trade-offs that limit their usefulness as a single source of truth for project-level vulnerability assessment:
But what if you just want to:
That’s where VulnScout comes in.
Unlike many other tools that require a persistent web and database infrastructure, VulnScout is fully self-contained. It runs locally, stores its state within your project repository, and integrates directly with your build system, making CVE assessments version-controlled and part of your release process.
VulnScout helps teams keep track of which components are vulnerable, which ones have been fixed, and which ones still need attention. This history is preserved in the repository, making it part of your engineering workflow and auditable over time.
While other solutions are tightly coupled to specific data formats, VulnScout is format-agnostic and supports SPDX 2.x, SPDX 3.0, CycloneDX, and OpenVEX out of the box, eliminating the need for format conversion. VulnScout can also act as a conversion and reporting tool, allowing you to transform SBOM inputs into:
This makes it ideal for both automated builds and preparing audit documentation, especially when you need to demonstrate how you’ve addressed vulnerabilities across your open-source dependencies.
Instead of analyzing binaries or source code directly, VulnScout focuses on SBOM inputs. It consumes formats like SPDX, CycloneDX, Grype JSON, and Yocto CVE-check JSON, enriching them with data from:
Once scanned, VulnScout generates:
It is designed to run locally, either plugged into a Yocto or Buildroot setup or via a Docker container, and can be triggered with a single script (vulnscout.sh) or a Yocto layer (meta-vulnscout). This workflow allows you to continuously monitor open-source components as part of every build, catching regressions and new disclosures early.
You can get started with VulnScout in just a few minutes.
Check out the VulnScout GitHub repository for installation instructions, examples, and quick-start guides. If you use Yocto, check out meta-vulnscout, allowing for seamless integration with your image recipes.
Run it locally or in your CI pipeline to keep your open-source components under continuous watch and stay ahead of new vulnerabilities.
L’année 2024 a été particulièrement riche pour Savoir-faire Linux. Nous avons eu l’opportunité de participer à des événements clés dans les secteurs de l’énergie et de l’embarqué. Nous avons construit de nouveaux partenariats et renforcé notre position dans la communauté Open Source. Nous avons également eu le plaisir de sponsoriser deux événements cette année : le […]
En continuant nos rétrospectives de 2023, nous souhaitons mettre en lumière les contributions que nous avons apportées tout au long de l’année aux divers projets open source que nous utilisons quotidiennement pour nos besoins et ceux de nos clients, ou auxquels nous sommes stratégiquement impliqués par leur développement ou leur maintenance. En tant que membre […]
Bonjour ! Je m’appelle Emma Falkiewitz et j’ai 21 ans. Je suis en 4ᵉ année d’école d’informatique à l’université de technologie de Compiègne (l’UTC) en France. Je viens de terminer mon stage à Savoir-faire Linux où j’ai travaillé sur Jami. Comment t’est venu ce choix de carrière ? Au lycée, j’étais déjà intéressée par l’informatique, […]
[L’introduction est en français, le reste du texte en anglais] 2023 fut une année très prolifique pour Savoir-faire Linux, et à l’occasion de notre participation et de notre sponsorisation du LF Energy Summit 2024, nous souhaitions partager une rétrospective des conférences auxquelles nous avons participé en 2023. Grâce à nos investissements en R&D ainsi que […]
Notre vie personnelle et professionnelle est souvent jalonnée de rencontres avec des femmes et des hommes qui nous ont marqués et inspirés, que ce soit par leurs compétences, leur engagement social ou politique, leur vision, leur leadership… Nous avons cette tradition chez Savoir-faire Linux qui est de rendre hommage à certaines de ces personnalités remarquables […]
