Description : Confiance et traçabilité dans la production de logiciels / Trust and traceability in software production

Pour produire de nouveaux logiciels, les développeurs assemblent des composants logiciels (internes ou open-source) pour répondre à un ensemble d’exigences. Ces composants constituent la chaîne d’approvisionnement du logiciel. Ils sont traités par différents outils (compilateurs, gestionnaires de paquets, …) qui constituent sa chaîne de production. Il est crucial de pouvoir tracer précisément les composants mis en jeu ainsi que leur méthode d’assemblage afin de répondre à des impératifs de transparence, de sécurité, de certification et de reproductibilité. Ce défi vise à explorer de nouvelles pistes de recherche permettant de mieux spécifier, vérifier et certifier les chaînes d’approvisionnement et de production logicielles, de la spécification des exigences jusqu’à la certification, afin d’adresser les enjeux identifiés, par exemple, dans l’EU Cyber Resilience Act et dans l’Executive Order on Improving the Nation’s Cybersecurity. Le défi explorera notamment les notions de nomenclature logicielle (Software Bill of Materials — SBOM), leur génération, usage, et vérification, la traçabilité des artefacts et des exigences tout au long du cycle de vie, ainsi que leur intégration au sein d’écosystèmes logiciels toujours plus grands et plus dynamiques.