Veracode a amélioré sa plate-forme de test de sécurité des applications natives dans le cloud avec de nouvelles intégrations, la prise en charge de la nomenclature logicielle (SBOM) et d’autres améliorations clés.
Les nouvelles fonctionnalités de la plate-forme de sécurité logicielle continue de Veracode incluent des intégrations étendues pour prendre en charge l’analyse de la composition logicielle (SCA), une interface de programmation d’application (API) SBOM et une prise en charge supplémentaire du langage et du cadre pour l’analyse statique. L’analyse fréquente du code à l’aide d’outils tels que Veracode atténue les risques liés aux vulnérabilités propriétaires et open source, telles que Log4j.
Suppression des SBOM
“Le décret exécutif du gouvernement fédéral de mai 2021 a souligné l’importance de sécuriser la chaîne d’approvisionnement logicielle et le rôle d’une nomenclature logicielle dans ce processus”, a déclaré Janet Worthington, analyste chez Forrester Research. « Depuis lors, nous avons constaté une augmentation du nombre d’agences gouvernementales et d’entreprises du secteur privé nous demandant comment demander un SBOM. Les fournisseurs de logiciels ne sont pas loin derrière, et nombre d’entre eux génèrent désormais de manière proactive des SBOM. L’intégration des outils de génération de SBOM dans le processus de développement CI/CD donne aux fournisseurs de logiciels la flexibilité nécessaire pour générer et mettre à jour le SBOM tout au long du cycle de vie du produit.
L’API SBOM de Veracode permet aux développeurs de générer facilement un SBOM au format CycloneDX JSON, l’un des formats approuvés pour la conformité avec le décret exécutif américain. Cela aidera à confirmer que le code utilisé ou construit est exempt de vulnérabilités.
“Avec le volume de code open source sur lequel les développeurs s’appuient aujourd’hui, les processus manuels peuvent ralentir les développeurs et les équipes de sécurité”, a déclaré Chris Wysopal, CTO et co-fondateur de Veracode, à The New Stack. “L’API Veracode SBOM a été introduite pour faciliter la visibilité lors de l’utilisation de composants tiers. En supprimant les étapes d’inventaire manuel de l’analyse de la composition logicielle, les ressources et le temps peuvent être consacrés à une mise à jour plus rapide et à une réponse aux vulnérabilités.
De plus, les applications modernes sont assemblées et non écrites à partir de zéro, selon Brian Roche, directeur des produits chez Veracode. Et le code open source représente une part importante des bases de code auditées, ce qui augmente les risques de sécurité et la nécessité d’identifier les risques de la chaîne d’approvisionnement. Par exemple, 97% de l’application Java typique est composée de bibliothèques open source, a-t-il déclaré.
“Notre API SBOM est conçue pour permettre aux développeurs d’inventorier plus facilement leur base de code, y compris les composants tiers, leur permettant d’agir rapidement si de nouvelles vulnérabilités apparaissent”, a déclaré Roche dans un communiqué. Depuis le lancement de notre plate-forme de sécurité logicielle continue en mai, nous avons introduit des fonctionnalités supplémentaires qui rencontrent les développeurs là où ils travaillent : dans l’environnement de développement intégré (IDE), le référentiel de code et l’interface de ligne de commande. Ces innovations sont conçues pour stimuler l’adoption en rendant la plate-forme encore plus conviviale pour les développeurs. »
En incorporant la génération SBOM dans le cycle de vie du développement logiciel, les éditeurs de logiciels gagnent en visibilité sur les composants et les bibliothèques qu’ils assemblent et conditionnent avec leurs produits, a déclaré Worthington.
“Ces pratiques leur donnent un avantage sur la concurrence lorsque les clients demandent un SBOM pendant le processus de vente et d’approvisionnement”, a-t-elle noté.
Nouvelles intégrations
Pendant ce temps, Veracode a introduit des intégrations qui permettent aux développeurs de travailler dans leurs environnements familiers ou de rencontrer des développeurs là où ils travaillent. Par exemple, l’extension Veracode Azure DevOps dispose d’un nouvel importateur de failles SCA pour importer automatiquement les failles dans l’IDE, ce qui facilite la recherche et la correction des failles de sécurité statiques ou SCA.
La société est également sur le point de publier une extension Veracode pour Visual Studio Code, qui fournira des informations détaillées sur les vulnérabilités, les risques de licence et les versions recommandées des bibliothèques open source et des dépendances transitives, a déclaré Roche.
La plate-forme de Veracode prend en charge plus de 100 langages et frameworks, y compris ceux pour le développement d’applications cloud natives et les langages plus anciens utilisés avec des actifs hérités, comme COBOL. La nouvelle version de la plate-forme ajoute la prise en charge de Rails 7.0, Ruby 3.x et PHP Symfony.
“Veracode nous a apporté une plate-forme complète pour intégrer des outils de sécurité dans nos pipelines de développement, et nous a aidés à développer nos connaissances pour continuer à nous améliorer en matière de sécurité”, a déclaré Peter Evans, directeur de l’ingénierie chez QAD Precision GTTE, dans un communiqué. “Veracode était également un bon choix car la plate-forme peut analyser le code Java dans le framework Spring où nous développons notre logiciel. Nous sommes passés de la révision du code à l’intégration d’analyses continues dans nos pipelines quotidiens. Les menaces de sécurité ne restent pas immobiles et Veracode nous fournit les outils pour suivre les dernières vulnérabilités et règles.
Image sélectionnée par Denny Müller sur Unsplash.