Accueil du blog

Sécurité agentique de la chaîne d’approvisionnement logicielle : curation et remédiation assistées par l’IA

Paul Garden

Par Paul Garden, JFrog Partner and Industry Solutions

9 min read

Les chaînes d’approvisionnement logicielle sont le vecteur d’attaque n° 1 des cybercriminels. Le défi ne consiste pas seulement à trouver les vulnérabilités, mais à les corriger vite tout en préservant la sécurité, la conformité et la productivité des développeurs. Avec la complexification des supply chains, les approches classiques montrent leurs limites. Il faut une aide intelligente, autonome, et nativement intégrée dans le workflow des équipes de développement.

Nous sommes heureux d’annoncer que JFrog introduit Agentic Software Supply Chain Security (sécurité agentique de la chaîne d’approvisionnement logicielle), afin d’aider les organisations à réduire les risques, diminuer les coûts et accélérer la livraison. En associant la plateforme de confiance de JFrog à l’automatisation pilotée par l’IA, les équipes de développement peuvent passer de pratiques de sécurité réactives à une sécurité proactive et agentique de la chaîne d’approvisionnement logicielle, en conservant des progiciels plus sûrs, en remédiant aux CVE et en codant en toute confiance.

Agentic Software Supply Chain Security de JFrog

Agentic Software Supply Chain Security est un point culminant de divers outils et capacités au sein de la plateforme de chaîne d’approvisionnement logicielle JFrog ainsi que des intégrations avec des partenaires externes, et comprend JFrog Catalog, Curation, SAST, GitHub Copilot, et VSCode. Voilà comment l’ensemble fonctionne de concert pour faire passer les équipes de développement de pratiques défensives réactives à une approche de sécurité proactive, pilotée par des agents.

Curation : une sélection de packages plus rapide et plus intelligente

L’open source est le fondement des logiciels modernes, mais avec des millions de packages et des obligations de licence variées, la création de dépendances sûres et conformes peut s’avérer décourageante.

Avec JFrog Catalog & Curation les développeurs peuvent désormais builder en toute confiance. Des agents dotés d’une intelligence artificielle, connectés aux solutions de sécurité de JFrog via le protocole MCP (Model Context Protocol) à distance de JFrog, analysent les métadonnées des packages, la posture de sécurité et la conformité avec les politiques organisationnelles, aidant ainsi les équipes à sélectionner rapidement les meilleures bibliothèques open source. En s’assurant que les développeurs ne peuvent utiliser que les packages les plus sûrs et conformes aux règles, les équipes évitent les échecs de build dus aux vulnérabilités et assurent le bon fonctionnement des pipelines CI/CD, ce qui raccourcit les cycles de release et accélère les livraisons.

Exemple de workflow de curation :

  • Étape 1 : Un développeur écrit du code avec l’aide d’un agent IA (par ex., GitHub Copilot).
  • Étape 2 : Copilot sélectionne les packages nécessaires et les valide auprès de Curation par l’intermédiaire de JFrog MCP.
  • Étape 3 : JFrog Curation évalue le package en fonction des politiques de sécurité et de licence et des bases de données CVE prises en charge par JFrog Catalog
  • Étape 4 : L’agent IA avec les connaissances de JFrog (via MCP à distance) remplace les mauvaises versions des packages par celles qui satisfont à la politique de curation.

Résultat : une innovation plus rapide sans sacrifier la sécurité ou la gouvernance.

Remédiation agentique du code source, sécurisée et conviviale

La sécurité ne devrait pas ralentir les développeurs. Au contraire, elle doit les rejoindre dans l’IDE, au moment où ils codent, pour favoriser une innovation sans friction.

JFrog SAST met en évidence les vulnérabilités du code source directement dans l’IDE. Avec la remédiation agentique, les développeurs obtiennent en temps réel des modifications de code contextuelles, conviviales et exploitables, suggérées par l’IA, de sorte qu’ils n’ont pas besoin de passer au crible les journaux ou les rapports de sécurité. Le MCP SAST local de JFrog connecte la plateforme JFrog à l’agent IA de votre choix. L’agent obtient des informations du moteur SAST, qui analyse la base de code et génère des résultats SAST.

Exemple de workflow de codage :

  • Étape 1 : Un développeur écrit un nouveau code.
  • Étape 2 : JFrog analyse le code et signale tout motif vulnérable, par ex. une injection SQL
  • Étape 3 : Le développeur demande à l’agent IA de résoudre les problèmes SAST dans le code.
  • Étape 4 : L’agent IA reçoit du moteur SAST les informations de remédiation afin de proposer, en ligne dans le code, une correction sécurisée (« Convertir en requête paramétrée », ou en anglais : « Convert to parameterized query »).
  • Étape 5 : Le développeur examine et accepte ou rejette le code proposé.

Cela permet de s’assurer que les équipes ne se contentent pas de trouver des problèmes, mais qu’elles écrivent continuellement du code sécurisé par défaut.

Remédiation automatisée ou « Demander à Copilot de corriger » (en anglais, Ask Copilot to Fix)

Les vulnérabilités dans les dépendances open source (CVE) restent l’un des vecteurs d’attaque les plus exploités dans la chaîne d’approvisionnement logicielle. Les identifier n’est que la moitié de la bataille ; le véritable défi consiste à y remédier rapidement et avec précision.

La fonction « Ask Copilot to Fix » fait partie de notre extension VSCode et suggère ou applique automatiquement des correctifs, des mises à jour de dépendances ou des alternatives sûres. L’action « Ask Copilot to Fix » peut être déclenchée pour diverses constatations de sécurité, y compris celles provenant de l’analyse SAST, de l’analyse des secrets et de l’analyse IaC. La remédiation est ainsi transparente, efficace et intégrée directement dans l’expérience du développeur.

Exemple de workflow pour la remédiation des CVE :

  1. L’extension VSCode analyse l’ensemble de votre base de code.
    • Si vous disposez de JFrog Advanced Security, l’analyse comprend l’analyse contextuelle, SAST, la détection des secrets et l’analyse de l’infrastructure en tant que code (IaC).
    • Par exemple, l’analyse détecte une CVE dans une dépendance, log4j version 2.14.1.
  2. Le développeur choisit alors l’option de correction du problème détecté « Ask Copilot to Fix ».
  3. Les informations relatives à la remédiation sont transmises à Copilot par JFrog.
  4. Copilot génère la correction de code sur la base des informations de remédiation de JFrog.

Au lieu de submerger les équipes d’alertes, JFrog les dote d’une remédiation autonome et agentique qui assure la sécurité de la chaîne d’approvisionnement sans ralentir les livraisons.

L’avantage JFrog

JFrog aide les équipes à passer d’une sécurité réactive à une sécurité proactive. Grâce aux recherches approfondies de JFrog en matière de sécurité, la plateforme JFrog garantit une protection complète et des informations exploitables. En connectant des agents IA à la plateforme JFrog via des serveurs MCP et en utilisant le plugin JFrog VSCode, les développeurs bénéficient d’avantages :

  • Curation des packages automatisée pour une réduction des risques de la chaîne d’approvisionnement.
  • Sécurité du code et remédiation en ligne, en fonction du contexte.
  • Correctifs de CVE et autres, fluides et sans friction, qui accélèrent les cycles de release.

Il ne s’agit pas d’un simple assistant IA, mais d’une remédiation agentique et autonome qui transforme le DevSecOps en une chaîne d’approvisionnement logicielle auto-réparatrice. Contrairement aux solutions ponctuelles, JFrog offre :

  • Une visibilité de bout en bout, du code à l’exécution.
  • Des workflows d’IA agentique intégrés dans la curation, le codage et la remédiation des CVE.
  • Des renseignements en matière de sécurité de confiance, intégrés à GitHub, aux environnements IDE et aux pipelines DevSecOps d’entreprise.

Avec JFrog, les entreprises peuvent passer d’un système de correctifs réactif à une sécurité proactive, autonome et continue.

Bénéfices opérationnels

Voici les résultats auxquels les organisations peuvent s’attendre grâce à la sécurité agentique de la chaîne d’approvisionnement logicielle de JFrog.

Rapidité de mise sur le marché

  • Les packages open source triés par l’IA réduisent les délais d’approvisionnement et les vérifications de conformité.
  • Les développeurs passent moins de temps à rechercher des bibliothèques et plus de temps à innover.
  • Cela peut permettre d’accélérer le codage et la remédiation des CVE.

Réduction des risques

  • La remédiation automatisée des CVE peut contribuer à réduire les fenêtres d’exposition
  • La remédiation agentique du code source réduit l’erreur humaine et garantit la sécurité dès la conception.
  • L’amélioration de la conformité des licences réduit les risques juridiques et de réputation.
  • Les intrusions évitées génèrent un retour sur investissement majeur : en moyenne, un incident de supply chain logicielle coûte plus de 4,4 millions de dollars.

Efficacité opérationnelle

  • La remédiation pilotée par l’IA réduit le triage manuel, libérant ainsi les ingénieurs en sécurité pour des tâches à forte valeur ajoutée.
  • L’intégration transparente de l’IDE réduit les changements de contexte pour les développeurs et améliore leur productivité.
  • L’automatisation de la remédiation permet de réduire considérablement le temps consacré à l’évaluation des dépendances open source.

Économies de coûts

  • Des cycles plus rapides signifient moins d’incidents, moins de pannes et moins de coûts liés aux violations.
  • Avec la génération de code et l’assistance à la remédiation pilotées par l’IA, les développeurs peuvent atteindre jusqu’à 2x de gain de productivité, l’IA prenant en charge les tâches répétitives.

L’avenir de la sécurité agentique

L’avenir du DevSecOps ne se résume pas au shift-left ; il tient à l’IA agentique : une sécurité autonome aussi rapide que vos développeurs.

Grâce aux capacités d’IA agentique intégrées à la plateforme JFrog, les développeurs bénéficient d’avantages :

  • Vitesse grâce à des packages open source triés par l’IA.
  • Sécurité avec remédiation de code agentique pilotée par SAST.
  • Continuité dans la détection des CVE et les auto-fixes.
  • Confiance dans la fourniture de logiciels à grande échelle, sans compromis.

En combinant des fondations DevSecOps fiables avec des agents IA autonomes, JFrog fait de la sécurité agentique de la chaîne d’approvisionnement logicielle une réalité, aidant les organisations à fournir des logiciels sécurisés, fiables et conformes au rythme de l’innovation. Pour en savoir plus, planifiez une démonstration, réalisez une visite en ligne, ou rendez-vous sur GitHub Marketplace pour connecter vos instances GitHub et JFrog et profiter d’un codage sécurisé et assisté par l’IA.

Popular Tags