Les améliorations de la plateforme Veracode améliorent la capacité des développeurs à sécuriser les chaînes d'approvisionnement logicielles

Lors de Black Hat USA 2022, Veracode a annoncé l’amélioration de sa plate-forme de sécurité logicielle continue avec des améliorations substantielles de son expérience de développeur intégrée.

Les nouvelles fonctionnalités incluent des intégrations étendues pour prendre en charge l’analyse de composition logicielle (SCA), une interface de programmation d’application (API) de nomenclature logicielle (SBOM) et une prise en charge de langage et de cadre supplémentaires pour l’analyse statique, améliorant encore la capacité des développeurs à sécuriser les logiciels dans les environnements où ils travaillent.

Brian Roche, directeur des produits chez Veracode, a déclaré : « Les applications modernes sont pour la plupart assemblées, et non écrites à partir de rien. Le code open source constitue une part importante des bases de code auditées (par exemple, 97 % de l’application Java typique est constituée de bibliothèques open source), ce qui augmente les risques de sécurité et la nécessité d’identifier les risques de la chaîne d’approvisionnement. Notre API SBOM est conçue pour permettre aux développeurs d’inventorier plus facilement leur base de code, y compris les composants tiers, leur permettant d’agir rapidement si de nouvelles vulnérabilités apparaissent.

Depuis le lancement de notre plate-forme de sécurité logicielle continue en mai, nous avons introduit des fonctionnalités supplémentaires qui répondent aux besoins des développeurs là où ils travaillent : dans l’environnement de développement intégré (IDE), le référentiel de code et l’interface de ligne de commande. Ces innovations sont conçues pour stimuler l’adoption en rendant la plate-forme encore plus conviviale pour les développeurs. »

Faciliter DevSecOps

La plate-forme de Veracode prend en charge plus de 100 langages et frameworks, y compris ceux pour le développement d’applications cloud natives et les langages plus anciens utilisés avec des actifs hérités, comme COBOL. Les grandes entreprises ont des applications dans une myriade de langues et le fait de pouvoir déployer une solution de test de sécurité continue sur elles simplifie le processus, tout en fournissant des résultats cohérents.

La dernière étude de la société sur l’état de la sécurité logicielle (SoSS) 12 a analysé les failles les plus courantes par langue et a révélé qu’une faille répandue pour une langue peut ne pas être préoccupante pour une autre. Par exemple, le cross-site scripting (XSS) est le défaut le plus courant pour PHP, à 77 %, mais ne figure même pas dans le top 10 pour C++.

De plus, les failles changent constamment, ce qui signifie que même si une faille n’est pas répandue dans un langage de programmation, les praticiens doivent toujours prendre des mesures actives pour l’empêcher d’avoir un impact sur leur code. Étant donné que les tactiques de correction varient selon les failles et le langage de programmation, disposer d’un large éventail de langages pris en charge en un seul endroit facilite le travail des développeurs en libérant leur temps pour se concentrer sur le respect des délais de déploiement serrés.

L’analyse fréquente du code propriétaire et tiers atténue les risques liés aux vulnérabilités propriétaires et open source, telles que Log4j. Les nouveaux outils et services de Veracode axés sur les développeurs sont conçus pour rendre ce processus plus rapide et plus facile, en particulier avec la capacité supplémentaire de numérisation de bibliothèques propriétaires tierces.

Peter Evans, directeur de l’ingénierie chez QAD Precision GTTE, a déclaré : « Veracode nous a apporté une plate-forme complète pour intégrer des outils de sécurité dans nos pipelines de développement, et nous a aidés à développer nos connaissances pour continuer à nous améliorer en matière de sécurité. Veracode était également un bon choix car la plate-forme peut analyser le code Java dans le framework Spring où nous développons notre logiciel. Nous sommes passés de la révision du code à l’intégration d’analyses continues dans nos pipelines quotidiens. Les menaces de sécurité ne restent pas immobiles et Veracode nous fournit les outils pour suivre les dernières vulnérabilités et règles.

Les mises à jour de la plate-forme Veracode Continuous Software Security incluent :

SBOM pour SCA

Les réglementations gouvernementales dictant les normes de sécurisation des chaînes d’approvisionnement logicielles, il est important pour les organisations de disposer d’un SBOM. L’API SBOM de Veracode dans SCA permet aux développeurs de générer facilement un SBOM au format CycloneDX JSON, l’un des formats approuvés pour la conformité avec le décret exécutif américain. Cela permet de confirmer que le code qu’ils utilisent ou qu’ils construisent est exempt de vulnérabilités.

IDE et intégrations pour SCA

Pour faire de la sécurité logicielle une expérience transparente, Veracode continue d’introduire des intégrations qui rencontrent les développeurs là où ils travaillent.

L’extension Veracode Azure DevOps dispose d’un nouvel « importateur de failles SCA » pour importer automatiquement les failles SCA dans les tableaux et les éléments de travail Azure DevOps
L’extension Veracode pour Visual Studio Code, qui sortira bientôt, fournit des informations détaillées sur les vulnérabilités, les risques de licence et les versions recommandées des bibliothèques open source et des dépendances transitives afin que les développeurs puissent réagir rapidement à tout risque.

Prise en charge étendue des frameworks et des langages pour l’analyse statique

La société s’engage à suivre les derniers langages et frameworks avec lesquels les développeurs travaillent, en ajoutant la prise en charge de Rails 7.0, Ruby 3.x et PHP Symfony.

Roche a conclu : « En tant que pionnier de la sécurité des applications, nous sommes particulièrement bien placés pour combiner une expérience inégalée avec les dernières innovations en matière de développement cloud. Contrairement aux fournisseurs sur site, notre solution SaaS est à la fois évolutive et élastique, ce qui signifie que les clients sont toujours prêts à répondre à une demande inattendue. Alimentée par près de deux décennies de données cumulées, notre plateforme fournit des analyses historiques comparatives détaillées par rapport aux références de l’industrie et aux pairs, un niveau d’informations très pertinentes pour les équipes de direction et le conseil d’administration. Notre plate-forme permet également aux développeurs de gagner du temps en fournissant des résultats très précis et en leur permettant de trouver et de corriger les vulnérabilités en quelques minutes, ce qui signifie qu’ils peuvent expédier du code rapidement avec la certitude qu’il est sécurisé. »

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Les améliorations de la plateforme Veracode améliorent la capacité des développeurs à sécuriser les chaînes d’approvisionnement logicielles

Faciliter DevSecOps

Leave a Comment Cancel reply