Qu’est-ce que DevSecOps ?

Les applications modernes peuvent désormais être composées de 90 % de composants OSS. Cela signifie que la majorité des logiciels que nous créons, déployons et consommons quotidiennement sont plus susceptibles de contenir des vulnérabilités que jamais auparavant. En raison de son ouverture, le code est facile d'accès pour les pirates, qui peuvent y rechercher des vulnérabilités. En plus de présenter un risque en raison de leurs vulnérabilités, les logiciels open source peuvent également introduire des problèmes complexes de conformité des licences pour les organisations. Une complication potentielle pourrait être liée à l'exigence d'une licence : « Si vous utilisez ce composant, vous devez rendre votre code open source ».

Idéalement, vous devez analyser et identifier les problèmes de conformité et de vulnérabilité des licences sur tous vos composants OSS le plus tôt possible dans le processus de développement. Connaître les composants que vous avez dans l’ensemble de votre portefeuille d’applications et les suivre est une exigence absolue et devrait être automatisée. Cette démarche devrait faire partie intégrante de votre pipeline CI/CD, afin de maintenir votre vitesse de développement et de publication.

Auparavant, la sécurisation de votre SDLC et de la production nécessitait d'exécuter des agents pour effectuer l’analyse des composants. Aujourd’hui, il existe différentes solutions qui peuvent atteindre un niveau supérieur de surveillance de la sécurité et de la conformité. Elles sont intégrées directement dans votre IDE, gestionnaire de dépôts ou pipeline CI/CD, et peuvent même analyser vos images de conteneur. Pour la surveillance de la sécurité et de la conformité open source, il serait plus efficace de dispose d’une solution SCA intégrée nativement.

Les outils SCA avancés offrent des capacités de mise en application des stratégies, permettant une surveillance automatisée des composants open source. Ceux-ci sont configurables pour permettre différents comportements sur les violations de sécurité ou de conformité identifiées, en fonction du contexte des éléments analysés. Un exemple serait l'échec de l'assemblage d’une application hautement sensible basée sur une vulnérabilité, tout en réussissant l'assemblage d’une application de test comportant le même composant vulnérable. Les outils SCA comparent chaque composant open source de votre code à vos stratégies et déclenchent différents types d’actions automatisées en fonction du résultat.

Un outil SCA utilise une base de données de référence de vulnérabilités et de licences connues avec laquelle il compare les dépendances OSS utilisées par votre application. Plus les bases de données sont complètes, plus le risque que votre code de production contienne des vulnérabilités connues ou des problèmes de licence est faible.

Il est important de prendre en compte les éléments suivants lorsque vous examinez les outils d’analyse de la composition logicielle :
1. Prise en charge des technologies : Dans quelle mesure est-il universel et prend-il en charge tous les langages de codage et types de packages utilisés par votre organisation ?
2. Intégration des Écosystèmes : L’outil SCA doit s’intégrer aux dépôts, aux IDE, aux gestionnaires de packages, aux serveurs CI et plus encore, via des intégrations prêtes à l’emploi et via de riches API ouvertes.
3. Base de données : Une base de données complète sur les licences et les vulnérabilités est indispensable pour assurer la meilleure couverture.

Une pile de sécurité complète doit se composer des outils suivants :
- Tests dynamiques de sécurité des applications (DAST, Dynamic Application Security Testing)
- Tests interactifs de sécurité des applications (IAST, Interactive Application Security Testing)
- Analyse de Composition Logicielle (SCA, Software Composition Analysis)
- Tests statiques de sécurité des applications (SAST, Static Application Security Testing)

JFrog Xray est un outil SCA qui se concentre sur la détection et l’élimination des vulnérabilités de sécurité open source et des problèmes de conformité des licences dans les composants OSS et dans les dépendances que vous utilisez pour écrire le code de votre application. Les bases de code étant composées jusqu’à 90 % d’OSS, Xray peut avoir un impact énorme sur la stabilité et la sécurité de vos versions de production.

Les organisations qui adoptent une telle approche constatent des améliorations dans l’ensemble du SDLC, notamment : amélioration de la qualité grâce à l’identification précoce des problèmes, visibilité sur le code propriétaire et open source, réduction des coûts de correction en détectant et en corrigeant les vulnérabilités dès le début du processus de développement, minimisation du risque de failles de sécurité et optimisation des tests de sécurité

Même si vous avez la meilleure intégration d’outils SCA, la qualité d'une solution d’analyse de sécurité dépend de la base de données de vulnérabilités qui la génère. L'utilisation d'une base de données qui n’est pas à jour avec les dernières vulnérabilités revient à essayer de trouver une personne au beau milieu de la foule, sans savoir à quoi elle ressemble. Certaines entreprises considèrent l’utilisation de l’énumération des vulnérabilités communes (CVE, Common Vulnerability Enumeration) de MITRE dans la base de données nationale sur les vulnérabilités (NVD, National Vulnerability Database) comme la norme de référence en matière de sécurité. De nombreux experts en sécurité sont catégoriques sur le fait qu'il ne suffit pas de s’appuyer sur la CVE et la NVD pour les données de vulnérabilité.

Par exemple, Risk Based Security, connu pour disposer de l’un des services de renseignement sur les vulnérabilités les plus complets et à jour disponibles, VulnDB, a systématiquement éclipsé le nombre total de vulnérabilités identifiées et cataloguées par la CVE et la NVD chaque année. Plus de 249 155 vulnérabilités, couvrant les produits de 27 676 fournisseurs, y compris des dizaines de milliers de vulnérabilités introuvables dans la CVE/la NVD, font de VulnDB la solution la plus complète du marché. Plus de 2 000 bibliothèques tierces ont été identifiées et surveillées afin d'y détecter des vulnérabilités.

JFrog Xray bénéficie d’une intégration étroite avec VulnDB, sa principale source d’informations sur les vulnérabilités et la conformité des licences.

Tout d’abord, de nombreux experts en sécurité du secteur sont catégoriques sur le fait qu'il ne suffit plus de s’appuyer sur les bases de données CVE et NVD pour les données de vulnérabilité. Un long délai peut s'écouler avant qu’une vulnérabilité ne soit publiée dans les bases de données CVE/NVD et, en attendant, les acteurs malveillants peuvent analyser ces vulnérabilités et déterminer comment ils peuvent les utiliser pour leurs activités néfastes.

Plus tôt votre solution SCA présente une vulnérabilité dans la base de données, plus tôt vous pouvez sécuriser votre code de production contre cette vulnérabilité. Il en va de même pour la vérification des types et des versions de licence. Vos services de conformité ou juridiques disposeront d’un ensemble de directives concernant l’utilisation de licences de logiciels open source. Le fait de disposer d’une base de données à jour de licences vous permet de minimiser le risque d’avoir des types de licences imprévus dans votre code de production, un problème qui peut être coûteux et compliqué à gérer.