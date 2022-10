Veracode lance une solution de sécurité des conteneurs pour sécuriser le développement d'applications natives du cloud





Veracode, chef de file mondial en matière de tests de sécurité des applications, annonce aujourd'hui le développement de sa plateforme de sécurité logicielle continue, qui inclut désormais la sécurité des conteneurs. Un programme d'accès en primeur à Veracode Container Security est désormais disponible pour les clients existants. La nouvelle solution Veracode Container Security, conçue spécialement pour satisfaire aux exigences des équipes d'ingénierie logicielle native du cloud, répond aux besoins d'analyse des vulnérabilités, de configuration sécurisée et de gestion des secrets pour les images de conteneurs.

Brian Roche, Chief Product Officer de Veracode, a déclaré : "Alors que les développeurs optent pour une informatique native du cloud, les conteneurs sont de plus en plus importants pour assurer l'efficacité des entreprises. Ce lancement vient combler une lacune importante sur le marché des solutions orientées développeurs qui intègrent des fonctionnalités essentielles pour la sécurité des conteneurs. Nous sommes ravis de proposer au marché cette nouvelle amélioration de notre plateforme et d'offrir aux clients la possibilité de procéder à des tests de sécurité pour des architectures et des styles de déploiement plus modernes."

Une demande de sécurité des conteneurs sans cesse croissante

Le recours aux conteneurs se généralise pour simplifier le déploiement des logiciels et la gestion de la configuration de l'environnement d'exécution. Ils se composent d'unités logicielles petites, rapides et portables au sein desquelles le code est intégré afin qu'une application puisse être exécutée rapidement et de manière fiable dans divers environnements informatiques, du poste de travail au cloud. Ils constituent un écosystème de référentiels, de technologies d'orchestration et de capacités permettant de résoudre des problèmes connexes, tels que la communication entre services et la gestion de la configuration. Les conteneurs, instanciés dans des pipelines à partir du code, bénéficient de l'immuabilité, et ne sont donc pas mis à jour, reconfigurés ou corrigés en production. En revanche, l'image sous-jacente est mise à jour et dotée de nouvelles fonctionnalités, avant d'être redéployée, contribuant ainsi à améliorer l'efficacité de l'environnement de production.

Bien que les conteneurs présentent de nombreux avantages, ils connaissent les mêmes problèmes que ceux habituellement rencontrés avec le matériel de production physique ou les serveurs virtuels, comme les vulnérabilités introduites par des logiciels supplémentaires, les secrets mal gérés (comme les clés et les informations d'identification d'Amazon Web Services dans les Dockerfiles) ou encore les erreurs de configuration de la sécurité. Ce phénomène explique la demande croissante de produits permettant de résoudre ces problèmes et les problèmes connexes, et la taille du marché mondial de la sécurité des conteneurs devrait atteindre 3,9 milliards de dollars d'ici 2027*. Le balayage de la sécurité des conteneurs compare les images de conteneurs à des normes organisationnelles ou sectorielles en vue d'identifier les processus non sécurisés, les configurations erronées risquant d'entraîner une vulnérabilité, ainsi que l'authentification et le contrôle d'accès inadéquats.

La sécurité des conteneurs de Veracode fait partie intégrante de l'environnement du développeur

De nombreux produits disponibles sur le marché visent à sécuriser les conteneurs en cours d'exécution et ne proposent qu'un soutien limité aux développeurs, posant ainsi un problème majeur de remédiation précoce. A contrario, la solution de Veracode s'intègre au pipeline CI/CD (intégration continue et livraison continue) et est disponible à l'interface de ligne de commande. Elle assure la détection et la correction des vulnérabilités, la gestion des secrets et les problèmes de configuration de la sécurité sur les systèmes d'exploitation les plus répandus. Elle propose des solutions aux développeurs dès le début du cycle de vie du logiciel, évitant ainsi que des conteneurs non sécurisés ne soient mis en production.

Les réponses de Veracode Container Security sont disponibles dans différents formats, au choix de l'utilisateur : texte, JSON (JavaScript Object Notation) et nomenclature logicielle (CycloneDX, SWID [Software Identification Tagging] ou SPDX [Software Packaging Data Exchange]), permettant ainsi de les intégrer aisément à d'autres outils. En fournissant aux développeurs et à leurs équipes les outils répondant à leurs propres besoins, ils sont en mesure de détecter et de corriger les vulnérabilités au début du cycle de vie, garantissant ainsi la sécurité de leur environnement d'applications en conteneurs.

"Veracode Container Security permettra à nos développeurs de garantir la sécurité des workloads déployés dans notre cloud", a déclaré le responsable de la sécurité informatique d'une entreprise automobile. "Sans un tel outil, notre équipe aurait mis des semaines avant de recevoir et d'agir sur les résultats des conteneurs et ceux-ci n'auraient été disponibles que dans des formats limités. Nous sommes ravis de pouvoir désormais intégrer les résultats dans le pipeline avant même qu'ils ne passent en production, générant ainsi des gains de temps et d'argent pour notre entreprise."

*Research and Markets, "Global Container Security Market Size, Share & Industry Trends Analysis Report By Component (Products and Services), By Services Type, By Organization Size, By Vertical, By Regional Outlook and Forecast, 2021-2027", février 2022.

