Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Comment sécuriser un logiciel dans un monde DevOps

Republié par Platon
Republié par Platon

Date :

Vues: 930

La pandémie de COVID-19 et son impact sur le monde ont fait qu'un nombre croissant de personnes réalisent combien de nos activités quotidiennes dépendent des logiciels.

Nous travaillons de plus en plus, nous éduquons, jouons, communiquons avec les autres, consommons des divertissements, faisons du shopping et faisons beaucoup d'autres choses dans le monde numérique, et nous dépendons des logiciels et des services / applications en ligne pour rendre cela possible. Le logiciel est maintenant partout et intégré à presque tout ce que nous touchons.

La pandémie a également considérablement accéléré les efforts de transformation numérique des entreprises et la prolifération de nouveaux logiciels, et a souligné deux faits indéniables:

  • La sécurité logicielle est plus nécessaire que jamais
  • Les solutions de test d'applications automatisées qui prennent en charge les flux de travail des développeurs sont le seul moyen de garantir la sécurité des logiciels à un rythme et à une échelle aussi intenses.

Problèmes à résoudre pour la sécurité des logiciels

Lorsque nous parlons de sécurité logicielle, nous parlons de faire un effort proactif pour créer des logiciels presque impénétrables aux cyberattaques. Nous parlons de travailler avec cet objectif à l'esprit au cours de chaque phase du cycle de vie du développement logiciel (SDLC) et de trouver et de corriger les vulnérabilités de sécurité avant qu'elles n'aient une chance de devenir un problème.

Au niveau de la surface, cela semble une évidence, mais il existe un certain nombre de défis auxquels les organisations sont confrontées lorsqu'il s'agit de mettre l'idée en pratique sous la forme d'un véritable programme DevSecOps.

De nombreuses approches de sécurité logicielle traditionnelles échouent également, soit en raison d'un manque d'intégration du SDLC et du flux de travail des développeurs, d'un échec à couvrir toutes les étapes du SDLC de manière holistique, d'un mépris des besoins des développeurs ou d'un manque d'automatisation des tests.

Intégrer la sécurité dans DevOps

Lentement mais sûrement, DevOps est devenu la méthodologie de livraison de logiciels de choix pour de nombreuses organisations.

En alignant toutes les personnes / départements impliqués dans le développement et la livraison de logiciels et en leur donnant les moyens de travailler en tandem, les organisations qui choisissent la culture DevOps et la mettent en œuvre correctement sont en mesure de fournir des logiciels de haute qualité plus rapidement. Et ceux qui choisissent d'intégrer la sécurité dans DevOps (DevSecOps) rendent l'ensemble de la proposition moins risqué pour toutes les personnes impliquées, y compris le client.

Mais comment faire pour que toutes les personnes impliquées soient avec enthousiasme à bord et satisfaites? La réponse est: rendre les tests de sécurité intrinsèques aux processus de développement et de livraison de logiciels en les intégrant dans les pipelines existants, les rendre automatisés et intégrer la formation et la sensibilisation AppSec au-dessus de toutes les opérations des développeurs pour assurer une formation continue.

Avec son Plateforme de sécurité logicielle, qui fusionne les tests de sécurité des applications statiques (SAST), l'analyse de composition logicielle (SCA), les tests de sécurité des applications interactifs (IAST) et la sensibilisation et la formation des développeurs en contexte (également appelée «Codebashing»), Checkmarx répond à toutes ces exigences.

logiciel sécurisé DevOps

En fait, la plate-forme de la société a récemment été désignée par Gartner comme la «meilleure solution» pour DevOps, et la société en tant que leader du Magic Quadrant 2020 de Gartner pour les tests de sécurité des applications pour la troisième année consécutive.

Pour eux, ce n'est pas une surprise, car ils travaillent constamment pour être à la fine pointe de la sécurité logicielle en innovant constamment leur flotte de solutions AST.

Matt Rose, directeur mondial de la stratégie de sécurité des applications chez Checkmarx, déclare avoir constaté de nombreux changements dans l'industrie au fil des ans, mais que leur produit a été vraiment conçu en avance sur son temps et s'intègre «incroyablement bien» aux processus DevOps modernes. .

Aucun des faits susmentionnés n'est passé inaperçu par la société de capital-investissement Hellman & Friedman, qui, au milieu de la pandémie COVID-19, a finalisé une acquisition de 1.15 milliard de dollars de Checkmarx - la plus grande acquisition de fournisseur AppSec à ce jour.

L'acquisition renforce la place de l'entreprise dans l'industrie en tant que personne qui ne disparaîtra pas, a noté Rose, et l'investissement leur permettra de poursuivre sur la lancée et de préparer l'avenir en fournissant la meilleure plate-forme de test de sécurité des applications au monde.

Sécurité et automatisation axées sur les développeurs

Il y a quelques ajouts récents à la plate-forme de sécurité logicielle de Checkmarx qui résolvent les défis de l'industrie:

  • Comment identifier les composants open source vulnérables dans les applications et corriger rapidement les vulnérabilités, et
  • Comment simplifier l'automatisation des tests de sécurité des applications pour réduire les frictions et la latence entre les équipes de développement et de sécurité.

Le premier se présente sous la forme d'une nouvelle solution d'analyse de composition logicielle (SCA) basée sur SaaS (CxSCA) qui peuvent être utilisées dans le cadre de la plateforme ou indépendamment de celle-ci. Doté d'une capacité unique de «chemin exploitable», CxSCA exploite les principales technologies d'analyse de source de Checkmarx pour identifier les composants open source vulnérables qui se trouvent dans le chemin d'exécution de la vulnérabilité, permettant aux équipes et aux développeurs AppSec de concentrer leurs efforts de correction sur les plus grands risques. Cela réduit considérablement le temps passé du point de détection des vulnérabilités au triage et augmente la productivité des développeurs.

Ce dernier est résolu par les capacités d'automatisation uniques de Checkmarx via un module d'orchestration (CxFlowComment) pour la plate-forme. Avec cela, Checkmarx permet une analyse automatisée plus tôt dans le processus de gestion du code en s'intégrant directement dans les systèmes de gestion du code source (pensez à GitHub, GitLab, BitBucket, Azure DevOps), ainsi qu'en fournissant des intégrations étendues avec les principaux outils CI / CD. Les équipes de développeurs et d'AppSec étant invitées à créer et à déployer des logiciels - qui sont sécurisés - plus rapidement que jamais, la capacité d'automatiser les tests dans l'environnement de travail des développeurs est essentielle.

«Une façon courante de penser est que l'orchestration CI est le meilleur endroit pour automatiser les capacités de test de sécurité des applications. Cependant, de multiples obstacles à la mise en œuvre - allant de longs temps de mise en place à des processus d'EC rigides - accompagnent généralement cette approche », a noté Rose.

«Avec Checkmarx, nous pouvons automatiser les tests du logiciel plus tôt en nous concentrant sur les systèmes de gestion du code source. Ce faisant, lorsqu'un développeur pousse du code dans le système de gestion du code source lorsqu'il a terminé, nous écoutons lorsque cette demande push ou pull est effectuée, puis nous automatisons l'analyse tout au long des tickets en cours de création. Les développeurs en bénéficient vraiment, car cela simplifie l'automatisation AST dans DevOps, sans interrompre leur flux de travail. »

Pour l'avenir, Checkmarx continue de faire évoluer son offre pour répondre à la sécurité nécessaire pour les logiciels et les tendances de développement comme le cloud natif, les microservices et les conteneurs. «DevOps évolue toujours, une grande partie des outils évolue encore et nos capacités évolueront avec eux», a déclaré Rose.

Sécurisation de l'application avant la publication

Il n'y a aucun doute à ce sujet (et les clients l'exigent): les technologies de test de sécurité des applications doivent être automatisées pour être efficaces dans l'arène du développement logiciel moderne, et Checkmarx établit la norme. Leurs clients soutiennent cette affirmation, avec des critiques sur Gartner Peer Insights, notamment:

  • «Les produits Checkmarx sont inestimables pour notre organisation. Ils sont un élément clé de notre stratégie et de notre mise en œuvre AppSec. »
  • «Si la main-d'œuvre de développeurs de votre entreprise n'est pas habituée à intégrer des normes de sécurité dans leurs versions, la pile d'outils Checkmarx fera des merveilles pour vous en termes d'intégration dans vos pipelines existants et de formation via Codebashing dont vos développeurs auront besoin.»

D'autres exigences importantes pour des outils de test AppSec efficaces incluent la capacité d'être intégré dans les chaînes d'outils des développeurs, de couvrir toutes les phases du SDLC (du codage à l'enregistrement et de l'IC), de fournir un retour rapide et d'être flexible, c'est-à-dire de permettre pour de nombreuses façons différentes de mettre en œuvre la technologie en fonction de la façon dont une organisation développe des logiciels et d'offrir différentes options de déploiement.

Checkmarx offre tout cela pour aider les organisations à atteindre l'objectif ultime: signaler les vulnérabilités et les risques de sécurité potentiels dès le début, lorsque la correction est considérablement plus facile.

Source : https://www.helpnetsecurity.com/2020/06/22/how-to-secure-software-in-a-devops-world/

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.