Nous décomposons la norme ASCDPM et comment les outils de test de sécurité des applications Synopsys peuvent aider les clients à mettre en œuvre ces nouvelles directives.
Début août 2022, le Consortium for Information & Software Quality (CISQ) a publié une nouvelle spécification, l’Automated Source Code Data Protection Measure (ASCDPM). CISQ est un groupe leader de l’industrie qui développe des normes internationales pour automatiser la mesure de la taille des logiciels et de la qualité structurelle à partir du code source. Le nouvel ASCDPM mesure dans quelle mesure les applications protègent les données confidentielles contre tout accès non autorisé et a été approuvé et publié en tant que norme Objective Management Group (OMG).
Les violations de données continuent d’être un problème
Lorsque chaque entreprise est une entreprise de logiciels, la sécurité des logiciels devient une question de sécurité de l’entreprise. Selon le rapport 2022 d’IBM sur le coût d’une violation de données, le coût moyen des violations de données individuelles a augmenté de 2,6 %, passant de 4,24 millions USD en 2021 à 4,35 millions USD en 2022. Dans l’ensemble, le coût moyen de l’exposition des données a augmenté de 12,7 % depuis 3,86 millions USD dans le rapport 2020. Pendant ce temps, la fréquence des violations a également augmenté. Au premier trimestre 2022, les violations de données ont augmenté de 14 % par rapport à il y a un an, selon le Centre de ressources sur le vol d’identité (ITRC), passant à trois années consécutives d’augmentation au premier trimestre. La dernière augmentation fait suite à l’augmentation de 68 % des violations en 2021 par rapport à 2020, qui a battu le précédent record, établi en 2017, de 23 %.
En conséquence, il y a une réelle poussée dans tous les secteurs pour accroître la sécurité, à commencer par la chaîne d’approvisionnement des logiciels. Le récent rapport de l’Enterprise Strategy Group (ESG), “Walking the Line : GitOps and Shift Left Security”, a révélé que les organisations approfondissaient la sécurité de la chaîne d’approvisionnement pour englober non seulement le code open source et tiers, mais également les outils de développement et les pipelines, Dépôts, API, conteneurs d’infrastructure en tant que code et configurations cloud. Pendant ce temps, le passage aux organisations de développement d’applications natives du cloud s’inquiète des risques posés aux nœuds supplémentaires de leur chaîne d’approvisionnement. Le rapport ESG a révélé que 73 % des organisations ont déclaré avoir « considérablement augmenté » leurs efforts de sécurité de la chaîne d’approvisionnement logicielle en réponse aux récentes attaques de la chaîne d’approvisionnement.
L’ASCDPM peut vous aider
C’est là que des normes telles que l’ASCDPM entrent en jeu. Ils permettent aux organisations de mesurer le risque opérationnel que représente le logiciel pour leur entreprise et d’estimer le coût de la maintenance corrective afin qu’elles puissent prendre les mesures de sécurité appropriées.
Le CISQ a développé l’ASCDPM sur la base d’un ensemble de faiblesses logicielles pertinentes du référentiel Common Weakness Enumeration (CWE). Les équipes DevSecOps peuvent utiliser l’ASCDPM dans les tests de sécurité des applications pour révéler les vecteurs sources de fuite ou de corruption de données, ainsi que les indicateurs de non-conformité aux directives de protection et de confidentialité des données. Si les organisations utilisent un logiciel exécuté dans le cadre d’un actif connecté au réseau qui contient un ou plusieurs de ces CWE, l’entreprise organisationnelle risque de ne pas se conformer aux exigences de protection des données.
Cette mesure de protection des données est pertinente pour les directives associées aux lois et réglementations sur la confidentialité et la protection des données telles que la certification du modèle de maturité de la cybersécurité (CMMC), la loi HIPAA (Health Insurance Portability and Accountability Act), le règlement général sur la protection des données (RGPD) et la confidentialité des consommateurs de Californie. Loi (CCPA). L’ASCDPM met en lumière la pertinence des CWE pour les entreprises qui cherchent à se conformer aux directives réglementaires associées à la protection des données et à la confidentialité. De nombreuses organisations subissent des évaluations de processus associées au CMMC, au RGPD et au CCPA, ainsi qu’aux normes de sécurité de l’information telles que ISO 27001, NIST SP 800-53 et NIST SP 800-171.
Synopsys vous a couvert
Lorsqu’il s’agit de mettre en œuvre les normes ASCDPM, nous pouvons fournir les outils pour l’analyse de la composition logicielle (SCA), les tests de sécurité des applications statiques (SAST) et les tests de sécurité des applications dynamiques (DAST). Avec la couverture Black Duck pour SCA, Coverity pour SAST et WhiteHat pour DAST, Synopsys dispose d’une suite d’outils pour s’assurer que vous êtes couvert pour presque tous les CWE inclus dans la norme.
Le SCA de Black Duck effectue une détection open source multifactorielle pour vous donner une visibilité complète sur les composants logiciels de n’importe quelle application ou conteneur. Pendant ce temps, Coverity SAST examine le code source pour trouver les failles et les faiblesses des logiciels, DAST analyse les applications Web de l’extérieur pour rechercher des vulnérabilités de sécurité telles que les scripts intersites, l’injection SQL et l’injection de commandes. SCA, SAST et DAST sont des approches de test complémentaires mais différentes qui détectent différents types de vulnérabilités.
Couverture SCA
La technologie de découverte de Black Duck vous permet de compiler une nomenclature logicielle complète (SBOM) des composants logiciels open source, tiers et propriétaires utilisés pour créer des applications et des conteneurs. Dans le cadre de cette compilation, Black Duck peut également vous alerter si le code de votre SBOM contient des vulnérabilités répertoriées dans l’ASCDPM.
Couverture SAST
Coverity fournit une solution SAST rapide, précise et hautement évolutive qui aide vos équipes de développement et de sécurité à gérer la qualité et la sécurité dès le début du SDLC. Cela permet aux organisations de suivre et de gérer les risques sur l’ensemble de leur portefeuille d’applications, y compris celles couvertes par la norme ASCDPM. De plus, Coverity fonctionne également avec le plugin Code Sight IDE pour fournir des solutions de codage directement aux développeurs afin qu’ils puissent trouver et corriger les défauts de sécurité et de qualité lorsqu’ils écrivent du code. Code Sight fournit une analyse incrémentielle rapide et précise qui donne aux développeurs des résultats en temps réel, y compris des informations CWE, des conseils de correction et une formation à la sécurité pertinente, directement dans l’IDE. La couverture couvre actuellement les près de 90 CWE divulgués par l’ASCDPM, à l’exception de CWE-1051 et CWE-1058.
Couverture DAST
WhiteHat DAST vous permet d’analyser en toute sécurité des applications en production sans avoir besoin d’un environnement de test séparé. Cela garantit que vous testez exactement la même surface que celle exposée aux pirates. WhiteHat propose également une analyse continue qui détecte et s’adapte aux changements de code, garantissant que les nouvelles fonctionnalités sont automatiquement testées, ainsi que des conseils de correction personnalisés de la part d’une équipe d’experts en sécurité des applications. Cela fournit une liste hiérarchisée des vulnérabilités, dont beaucoup sont référencées dans l’ASCDPM, et les conseils pour les corriger.
Bien que l’ASCDPM soit principalement conçu comme une norme d’analyse de code source, il est important de tester également vos applications à partir de l’interface d’implémentation. WhiteHat fournit une couverture de détection dans les zones testables dynamiquement et fournit une augmentation de sécurité importante aux tests SAST que vous effectuez déjà. Et puisque WhiteHat DAST est indépendant de la langue, il n’y a aucune limitation en matière de prise en charge de la langue.
À mesure que le rythme de la transformation numérique augmente, les surfaces d’attaque que les pirates peuvent exploiter augmentent également. Des normes telles que l’ASCDPM sont un autre outil que les organisations peuvent utiliser pour s’assurer qu’elles protègent leurs données et celles de leurs clients. Les violations de données coûtent cher non seulement en argent, mais aussi en temps de développement et en atteinte à la réputation. Synopsys peut vous aider à mettre en œuvre l’ASCDPM dans vos solutions SCA, SAST et DAST avec des solutions telles que Black Duck, Coverity et WhiteHat. En intégrant la sécurité dans votre logiciel aussi rapidement que vous le codez, vous protégez vos résultats en renforçant la confiance dans votre logiciel, le tout à la vitesse des exigences de votre entreprise.
