Simplifier la sécurité des logiciels : Veracode améliore l'expérience développeur sans tensions

Black Hat (stand N° 2428) ? Veracode, fournisseur mondial de solutions de test de sécurité des applications, a annoncé aujourd'hui le renforcement de sa plateforme de sécurité logicielle continue grâce à des améliorations substantielles de son expérience développeur intégrée. Les nouvelles fonctionnalités comprennent des intégrations élargies capables de prendre en charge l'analyse de la composition logicielle (SCA, pour Software Composition Analysis), une interface de programmation d'application (API) pour la gestion logicielle des nomenclatures (SBOM, pour Software Bill of Materials) et une prise en charge des langages et des cadres supplémentaire pour l'analyse statique, ce qui augmente la capacité des développeurs à sécuriser les logiciels dans les environnements où ils travaillent.

Brian Roche, Chief Product Officer chez Veracode, a déclaré : « Les applications modernes sont pour la plupart le résultat d'un assemblage, elles ne sont pas créées à partir de rien. Le code open source représente une grande part des codes bases audités, par exemple, 97 % d'une application Java typique sont composés de bibliothèques open source*, ce qui augmente le risque pour la sécurité et le besoin d'identifier le risque pour la chaîne d'approvisionnement. Notre API SBOM est conçue pour permettre aux développeurs d'inventorier plus facilement leur code base, notamment les composants tiers, ce qui leur permet d'agir rapidement si de nouvelles vulnérabilités apparaissent. Depuis le lancement en mai dernier de notre plateforme de sécurité logicielle continue, nous avons introduit des fonctionnalités supplémentaires qui répondent au besoin des développeurs sur leur lieu de travail : dans l'environnement de développement intégré (IDE) figurent le référentiel de code et l'interface de ligne de commande. Ces innovations sont conçues pour favoriser l'adoption de la plateforme en la rendant davantage conviviale auprès des développeurs ».

Faciliter la mise en place de DevSecOps

La plateforme de Veracode prend en charge plus de 100 langages et de cadres, notamment ceux utilisés pour le développement d'applications cloud natives et de langages plus anciens utilisés avec les actifs précédents, comme COBOL. Les grandes entreprises ont des applications dans une myriade de langages et le fait de pouvoir déployer une solution de test de sécurité continu dans ces langages simplifie le processus, tout en fournissant des résultats cohérents. La dernière étude « State of Software Security (SoSS) 12 » de l'entreprise a analysé les failles les plus courantes dans chaque langage et a révélé qu'une faille répandue dans un langage ne doit pas inquiéter outre mesure dans un autre. Par exemple, c ross-site scripting (XSS) est la faille la plus courante en PHP (77 %), mais qui ne figure même pas dans le top 10 en C++*. De plus, les failles changent constamment, ce qui signifie que même si une faille n'est pas répandue dans un langage de programmation, les professionnels doivent prendre des mesures actives pour éviter qu'elle n'ait un impact sur leur code. Étant donné que les tactiques de réparation varient selon la faille et le langage de programmation, le fait de disposer d'un large éventail de langages pris en charge sur un seul site facilite le travail des développeurs et leur permet ainsi de se concentrer sur le respect de délais de déploiement très serrés.

L'analyse fréquente du code source et du code tiers permet d'atténuer les risques liés aux vulnérabilités exclusives et open source, telles que Log4j. Les nouveaux outils et services de Veracode, orientés développeur, sont conçus pour rendre ce processus plus rapide et plus facile, notamment grâce à la capacité supplémentaire de scannage des bibliothèques tierces exclusives.

Peter Evans, directeur de l'ingénierie chez QAD Precision GTTE, a déclaré : « Veracode nous a fourni une plateforme complète pour intégrer des outils de sécurité dans nos pipelines de développement, et nous a permis de développer nos savoirs et donc de continuer à progresser en matière de sécurité. Veracode était également un bon choix car la plateforme peut analyser le code Java dans le cadre de Spring où nous développons nos logiciels. Nous sommes passés de la révision du code à l'intégration de scans continus dans nos pipelines quotidiens. Les menaces de sécurité évoluent en permanence et Veracode nous fournit les outils nécessaires pour nous tenir au courant des dernières vulnérabilités et règles ».

Les importantes mises à jour de la plateforme de sécurité logicielle continue de Veracode comprennent :

SBOM pour la SCA

• En raison des réglementations gouvernementales qui imposent des normes pour sécuriser les chaînes d'approvisionnement logicielles, il est de plus en plus important pour les entreprises de disposer d'un SBOM. L'API SBOM de Veracode dans la SCA permet aux développeurs de générer facilement un SBOM au format CycloneDX JSON, l'un des formats approuvés par le décret présidentiel américain . Cela permet de confirmer que le code qu'ils utilisent, ou qu'ils élaborent, est exempt de vulnérabilités.

IDE et intégrations dans la SCA

Pour que la sécurité des logiciels devienne une expérience sans heurts, Veracode continue d'introduire des intégrations qui répondent aux besoins des développeurs sur leur lieu de travail.

• L'extension Azure DevOps de Veracode dispose d'un nouvel « Importateur de failles dans la SCA » qui importe automatiquement les failles de la SCA dans les tableaux et les éléments de travail d'Azure DevOps.
• L'extension Veracode de Visual Studio Code, qui sera bientôt disponible, fournit des informations détaillées sur les vulnérabilités, les risques concernant l'autorisation et les versions recommandées des bibliothèques open source et des dépendances transitives, afin que les développeurs puissent intensifier leur réactivité face à n'importe quel risque.

Prise en charge élargie des plans-cadres et des langues pour l'analyse statique

• La société s'est engagée à suivre les derniers langages et cadres avec lesquels les développeurs travaillent, en ajoutant la prise en charge de Rails 7.0, Ruby 3.x, et de PHP Symfony

M. Roche termine ainsi : « Notre statut de pionnier de la sécurité dans les applications, nous confère une position unique nous permettant de combiner une expérience inégalée avec les dernières innovations en matière de développement en nuage. Contrairement aux fournisseurs sur site, notre solution SaaS est à la fois évolutive et élastique, ce qui signifie que les clients ont toujours la possibilité de répondre à une demande inattendue. Alimentée par près de deux décennies de données cumulées, notre plateforme fournit des analyses comparatives historiques détaillées par rapport aux références du secteur et aux pairs : un niveau d'information extrêmement pertinent pour les équipes dirigeantes et le conseil d'administration. Notre plateforme permet également aux développeurs de gagner du temps en fournissant des résultats très précis et en leur permettant de repérer et de corriger les vulnérabilités en quelques minutes, ce qui signifie qu'ils peuvent envoyer un code rapidement en ayant la certitude qu'il est sécurisé ».

Les développeurs peuvent en savoir plus sur la plateforme Veracode, sur l'expérience sans heurts des développeurs et sur la manière de sécuriser simplement et mûrement leur SDLC en se rendant sur le stand Veracode N° 2428 à la conférence Black Hat, aux États-Unis.

*Rapport de Veracode sur l'état de la sécurité des logiciels v12, Février 2022

À propos de Veracode

Veracode est un partenaire AppSec de référence pour la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l'augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui ont recours à Veracode sont en mesure de faire progresser leur activité et le monde. En combinant l'automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode offre aux entreprises des résultats précis et fiables qui leur permettent de concentrer leurs efforts sur la correction, et pas seulement sur la recherche, des éventuelles vulnérabilités.

En savoir plus à l'adresse www.veracode.com, sur le blog Veracode et sur Twitter.

Copyright © 2022 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d'autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.