{"id":102503,"date":"2022-10-18T14:28:55","date_gmt":"2022-10-18T12:28:55","guid":{"rendered":"https:\/\/jfrog.com\/?p=102503"},"modified":"2022-11-03T14:40:42","modified_gmt":"2022-11-03T12:40:42","slug":"la-securite-devops-enfin-disponible-lancement-de-jfrog-advanced-security","status":"publish","type":"post","link":"https:\/\/jfrog.com\/fr\/blog\/la-securite-devops-enfin-disponible-lancement-de-jfrog-advanced-security\/","title":{"rendered":"La s\u00e9curit\u00e9 DevOps enfin disponible ! | Lancement de JFrog Advanced Security"},"content":{"rendered":"

\"Announcing<\/p>\n

Aujourd\u2019hui s\u2019annonce comme un jour d\u00e9cisif pour JFrog et une \u00e9volution march\u00e9 majeure pour la s\u00e9curit\u00e9 de bout-en-bout de la cha\u00eene d\u2019approvisionnement logicielle. Nous avons lanc\u00e9 <\/span>JFrog Advanced Security<\/span><\/a>, notre solution unique de s\u00e9curit\u00e9 sp\u00e9cifiquement pens\u00e9e et con\u00e7ue pour les workflows DevOps modernes.<\/span><\/p>\n

Les d\u00e9veloppeurs et l\u2019infrastructure DevOps constituent d\u00e9sormais un vecteur d\u2019attaque substantiel pour les cyber assaillants. L\u2019h\u00e9t\u00e9rog\u00e9n\u00e9it\u00e9 des outils et des processus, sans parler du nombre exponentiel de biblioth\u00e8ques open source et de binaires utilis\u00e9s, peuvent tous, \u00e0 tout moment, introduire des failles tout au long de la cha\u00eene d\u2019approvisionnement. Responsables de leur Software Supply Chain, les \u00e9quipes DevOps se voient \u00e9galement charg\u00e9es de facto, de sa s\u00e9curit\u00e9. En parall\u00e8le, les \u00e9quipes s\u00e9curit\u00e9 tentent de trouver le bon\u00a0 \u00e9quilibre entre les diff\u00e9rents outils, configurations et reporting impactant leur quotidien.<\/span><\/p>\n

Actuellement, aucune solution sur le march\u00e9 n\u2019est capable de f\u00e9d\u00e9rer de mani\u00e8re ad\u00e9quate ces diff\u00e9rents m\u00e9tiers ou de fournir des donn\u00e9es et des informations unifi\u00e9es. Les \u00e9quipes s\u00e9curit\u00e9 restent les donneurs d\u2019ordre pour des dev submerg\u00e9s par les demandes, processus et r\u00e9glementations qui ne sont pas de leur ressort. En outre, les \u00e9quipes sont aussi impact\u00e9es par une multitude de solutions r\u00e9pondant \u00e0 un seul cas d\u2019usage business n\u00e9cessitant une int\u00e9gration technologique, du reporting et des agr\u00e9gations corr\u00e9l\u00e9es. Elles demandent en outre de la part des \u00e9quipes, des analyses et des \u00e9valuations manuelles et proposent une multitude de conseils de contextualisation et de rem\u00e9diation non centralis\u00e9s.<\/span><\/p>\n

Le march\u00e9 requiert aujourd\u2019hui une approche diff\u00e9rente, plus holistique, pour faire face aux nouvelles menaces de s\u00e9curit\u00e9 ciblant la cha\u00eene d\u2019approvisionnement logicielle.<\/b><\/p>\n

S\u00e9curit\u00e9 pour le DevOps<\/b><\/p>\n

Pionnier de la gestion binaire de bout-en-bout, la technologie au c\u0153ur de sa vision <\/span>Liquid Software, <\/span><\/i>JFrog continue sa progression logique (mais coh\u00e9rente) vers une gestion logicielle compl\u00e8te – du d\u00e9veloppement \u00e0 la production, avec la s\u00e9curit\u00e9 comme composant et catalyseur d\u00e9cisif.<\/span><\/p>\n

De nombreux facteurs cl\u00e9s ont permis cette transformation, notamment :<\/b><\/p>\n

\u00a0\u00a0\u00a0\u00a0<\/span>Le positionnement unique de la plateforme de JFrog<\/b>, v\u00e9ritable liant entre les d\u00e9veloppeurs, la production et les \u00e9quipes s\u00e9curit\u00e9, permettant de g\u00e9rer et de contr\u00f4ler la cha\u00eene d\u2019approvisionnement.<\/span><\/p>\n

\u00a0\u00a0\u00a0\u00a0<\/span>La multitude de r\u00e9cents \u00e9v\u00e9nements de s\u00e9curit\u00e9 \u00e0 fort impact, <\/b>\u00e0 l\u2019instar de <\/span>Log4Shell<\/span><\/a>, <\/span>Spring4Shell<\/span><\/a>, <\/span>SolarWinds<\/span><\/a>, etc., requiert une nouvelle approche de la s\u00e9curit\u00e9 tout au long de la cha\u00eene d\u2019approvisionnement logicielle, et pas uniquement une approche shift left centr\u00e9e sur l\u2019analyse du code source.<\/span><\/p>\n

\u00a0\u00a0\u00a0\u00a0<\/span>De nouvelles exigences et r\u00e9glementations en mati\u00e8re de s\u00e9curit\u00e9<\/b> ratifi\u00e9es presque de mani\u00e8re hebdomadaire, ont un impact sur les entreprises et les organisations publiques. Parmi ces derni\u00e8res on peut citer l\u2019ordonnance pr\u00e9sidentielle de mai 2021, le r\u00e9cent projet de loi <\/span>H.R. 7900<\/span><\/a> et le d\u00e9cret du <\/span>Bureau de la gestion et du budget (OMB) de la Maison Blanche<\/span><\/a> visant l\u2019am\u00e9lioration de la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement logicielle gr\u00e2ce \u00e0 des pratiques de d\u00e9veloppement plus s\u00e9curis\u00e9es. Encore plus r\u00e9cemment, on peut citer les <\/span>nouvelles directives supply chain<\/span><\/a> du National Cyber Security Centre du Royaume-Uni et une initiative additionnelle de l\u2019Union europ\u00e9enne.<\/span><\/p>\n

L\u2019approche binaire unique de JFrog fournit un niveau de compr\u00e9hension plus \u00e9lev\u00e9 bien au-del\u00e0 du code source, apportant de l\u2019intelligence sur les risques r\u00e9els de s\u00e9curit\u00e9 dans le logiciel.<\/span><\/p>\n

\"Developer<\/p>\n

 <\/p>\n

D\u00c9VELOPPEUR \/DEVOPS\/ S\u00c9CURIT\u00c9<\/b><\/p>\n

 <\/p>\n

La s\u00e9curit\u00e9 \u00e0 partir d\u2019une source de v\u00e9rit\u00e9 unique\u00a0<\/b><\/p>\n

Des millions de d\u00e9veloppeurs au sein de milliers d\u2019entreprises \u00e0 travers le monde, dont la majorit\u00e9 du Fortune 100, s\u2019appuient d\u2019ores et d\u00e9j\u00e0 sur les solutions JFrog pour g\u00e9rer en toute s\u00e9curit\u00e9 leurs cha\u00eenes d\u2019approvisionnement logicielles critiques. La plateforme JFrog se positionne comme la source de v\u00e9rit\u00e9 unique et centralis\u00e9e pour la gestion de leurs actifs logiciels sensibles que sont les fichiers binaires. Les fournisseurs de s\u00e9curit\u00e9 qui entendent proposer de v\u00e9ritables solutions de protection de bout-en-bout d\u00e9pendent enti\u00e8rement de l\u2019acc\u00e8s \u00e0 ces actifs. Apr\u00e8s tout, il n\u2019y a pas de shift left ou de shift right sans un bon contr\u00f4le du milieu\u00a0!<\/span><\/p>\n

L\u2019approche \u00ab shift left \u00bb est limit\u00e9e<\/b><\/p>\n

L\u2019analyse du code source (Outils SCA et AST – SAST, DAST et autres fuzzer, etc.) n\u2019est pas suffisante pour r\u00e9pondre aux besoins d\u2019analyse contextuelle. Cette derni\u00e8re ne peut \u00eatre obtenue qu\u2019en s\u2019int\u00e9ressant au binaire logiciel car il comporte beaucoup plus d\u2019informations que le code seul. Les conteneurs, les archives et m\u00eame les simples fichiers EPM fournissent tous une image du parcours logiciel. Le binaire \u00e9tant l\u2019actif ultime livr\u00e9 aux clients, il est de facto fortement cibl\u00e9 par les cybercriminels. Sans ces informations essentielles, il est impossible de fournir une compr\u00e9hension contextuelle suffisante pour d\u00e9terminer les risques. Les dysfonctionnements ne peuvent pas \u00eatre identifi\u00e9s, corrig\u00e9s, att\u00e9nu\u00e9s ou r\u00e9solus de mani\u00e8re efficace et hi\u00e9rarchis\u00e9e lorsque l\u2019accent est mis uniquement sur l\u2019IDE du d\u00e9veloppeur c\u2019est-\u00e0-dire le code source. La s\u00e9curit\u00e9 doit en effet \u00eatre g\u00e9r\u00e9e de mani\u00e8re holistique, du code au code compil\u00e9, en passant par les images, les builds, les versions, puis l\u2019ex\u00e9cution.<\/span><\/p>\n

Pousser les tests jusqu\u2019\u00e0 la production est insuffisant pour la s\u00e9curit\u00e9 du run\u00a0<\/b><\/p>\n

Les solutions qui se concentrent sur la s\u00e9curit\u00e9 lors de l\u2019ex\u00e9cution et de la mise en production (s\u00e9curit\u00e9 du cloud et des conteneurs) font un peu de shift left, mais ne vont pas aussi loin que les pure-players. Ils le font surtout pour r\u00e9pondre \u00e0 leurs besoins c\u2019est-\u00e0-dire la remont\u00e9e aux d\u00e9veloppeurs des r\u00e9sultats de la production via les processus DevOps.<\/span><\/p>\n

Une solution de s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement doit \u00e0 la fois offrir de la visibilit\u00e9 sur la source ainsi que sur le binaire.<\/b> Si elle ne peut pas voir le c\u0153ur de la cha\u00eene d\u2019approvisionnement au niveau binaire et offrir une visibilit\u00e9 de l\u2019int\u00e9rieur vers l\u2019ext\u00e9rieur, elle ne pourra pas se pr\u00e9valoir de capacit\u00e9s de s\u00e9curit\u00e9 globales.<\/span><\/p>\n

Avec l\u2019acquisition de Vdoo, JFrog a acc\u00e9l\u00e9r\u00e9 son positionnement dans le domaine de la s\u00e9curit\u00e9 avec la conception de solutions sp\u00e9cifiquement con\u00e7ues pour le DevOps. Les capacit\u00e9s d\u2019analyse binaire <\/span>de Vdoo<\/span><\/a>, associ\u00e9es \u00e0 la \u00ab source de v\u00e9rit\u00e9 \u00bb unique et centralis\u00e9e propos\u00e9e par la plateforme JFrog DevOps, permettent d\u2019activer une s\u00e9curit\u00e9 et un contr\u00f4le de bout-en-bout de la SCC tout en limitant drastiquement les frais g\u00e9n\u00e9raux pour les \u00e9quipes impliqu\u00e9es\u00a0: dev, ing\u00e9nieurs DevOps et responsables s\u00e9curit\u00e9.<\/span><\/p>\n

Au cours de l\u2019ann\u00e9e \u00e9coul\u00e9e, nous avons optimis\u00e9 <\/span>JFrog Xray<\/span><\/a> et ses bases de donn\u00e9es le transformant en un produit de premier plan capable de couvrir \u00e0 la fois le shift left via des cas d\u2019usage IDE et une puissante analyse des binaires. Avec le lancement de JFrog Advanced Security, l\u2019offre de s\u00e9curit\u00e9 JFrog vient de franchir une nouvelle \u00e9tape, se positionnant comme une solution de s\u00e9curit\u00e9 holistique, con\u00e7ue pour \u00eatre int\u00e9gr\u00e9e dans le workflow DevOps. Fonctionnant de concert avec JFrog Artifactory comme source unique de contr\u00f4le des binaires, JFrog Advanced Security, enrichit Xray de nouvelles fonctionnalit\u00e9s innovantes et r\u00e9pond aux menaces actuelles visant la cha\u00eene d\u2019approvisionnement au travers d\u2019une seule et unique plateforme.<\/span><\/p>\n

Pr\u00e9sentation de JFrog Advanced Security<\/b><\/p>\n

JFrog Advanced Security enrichit Xray de nombreuses nouvelles <\/span>fonctionnalit\u00e9s<\/span><\/a> ciblant les menaces de la cha\u00eene d\u2019approvisionnement. Pour proposer cette nouvelle couche de s\u00e9curit\u00e9, nous avons en premier lieu, consid\u00e9rablement am\u00e9lior\u00e9 JFrog Xray pour y inclure des donn\u00e9es propri\u00e9taires sur les CVE – vuln\u00e9rabilit\u00e9s communes au sein de la communaut\u00e9 – et les packages malveillants issues des recherches de JFrog Security Research, ainsi que des instructions granulaires de rem\u00e9diation et d\u2019att\u00e9nuation ajout\u00e9es aux articles CVE dans la base de donn\u00e9es. Des ressources ont \u00e9t\u00e9 consacr\u00e9es \u00e0 la fiabilisation des donn\u00e9es sur les CVE et les licences, \u00e0 l\u2019am\u00e9lioration de l\u2019\u00e9volutivit\u00e9 et \u00e0 la diminution de la latence lors de la mise \u00e0 jour des donn\u00e9es. Une politique de \u00ab risque op\u00e9rationnel \u00bb a \u00e9galement \u00e9t\u00e9 ajout\u00e9e pour d\u00e9cider du blocage des paquets en fonction du nombre de mainteneurs, la cadence de maintenance et plus encore.<\/span><\/p>\n

L\u2019approche technologique de JFrog Xray est bas\u00e9e sur l\u2019indexation pr\u00e9cise des paquets de m\u00e9tadonn\u00e9es. JFrog Advanced Security apporte une approche plus pouss\u00e9e du scan binaire examinant les donn\u00e9es qui ne sont pas accessibles via les gestionnaires de paquets, les SBOM ou les m\u00e9tadonn\u00e9es courantes. <\/span>Par cons\u00e9quent, il offre aux entreprises une toute nouvelle compr\u00e9hension de l\u2019\u00e9tat de s\u00e9curit\u00e9 des binaires analys\u00e9s, en particulier des conteneurs<\/b>. Les scanners permettent d\u2019identifier les probl\u00e8mes de s\u00e9curit\u00e9 qui, dans la plupart des cas, passent sous les radars de l\u2019analyse du code source. L\u2019utilisation d\u2019une analyse approfondie de cette envergure permettra, pour la premi\u00e8re fois, une <\/span>compr\u00e9hension globale des probl\u00e8mes de s\u00e9curit\u00e9 de mani\u00e8re contextuelle<\/b>, non seulement en identifiant les probl\u00e8mes \u00ab angles morts\u00a0\u00bb pour les autres solutions, mais aussi, en saisissant leur impact potentiel sur la production gr\u00e2ce \u00e0 une vision plus large et intelligente du logiciel, par rapport \u00e0 la seule analyse du code source.\u00a0<\/span><\/p>\n

\"\"<\/p>\n

Nouvelles fonctionnalit\u00e9s d\u00e9sormais disponibles dans JFrog Advanced Security\u00a0<\/b><\/p>\n

 <\/p>\n

    \n
  1. Analyse contextuelle des CVE dans les conteneurs<\/b><\/li>\n<\/ol>\n

    L\u2019un des retours des d\u00e9veloppeurs sur les outils SCA est qu\u2019ils g\u00e9n\u00e8rent beaucoup trop de r\u00e9sultats, ce qui les oblige \u00e0 corriger de nombreuses vuln\u00e9rabilit\u00e9s lesquelles, en r\u00e9alit\u00e9, ne pr\u00e9sentent aucun risque. Les r\u00e9sultats sont hi\u00e9rarchis\u00e9s de mani\u00e8re inefficace ou inappropri\u00e9e en raison d\u2019un manque de compr\u00e9hension contextuelle. Les m\u00e9thodes traditionnelles de notation CVSS (Common Vulnerability Scoring System) cr\u00e9ent encore plus de complexit\u00e9s, car elles ne prennent pas en compte les configurations sp\u00e9cifiques, les m\u00e9canismes de s\u00e9curit\u00e9 et autres caract\u00e9ristiques du logiciel analys\u00e9.<\/span><\/p>\n

    JFrog Advanced Security innove aujourd\u2019hui avec une fonctionnalit\u00e9 unique pour les conteneurs : l\u2019examen de l\u2019applicabilit\u00e9 des CVE identifi\u00e9es, en analysant en profondeur le conteneur, son contenu ainsi que ses caract\u00e9ristiques sp\u00e9cifiques. Par exemple, l\u2019outil va v\u00e9rifier si le code appelle la fonction vuln\u00e9rable dans le package, associ\u00e9 \u00e0 la CVE sp\u00e9cifique. Il recherchera \u00e9galement des configurations et des caract\u00e9ristiques de fichier suppl\u00e9mentaires pour indiquer si les conditions pr\u00e9alables \u00e0 l\u2019exploitation de la CVE sont remplies. \u00c0 l\u2019\u00e8re des nouvelles r\u00e9glementations en mati\u00e8re de s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement, telles que HR 7900 exigeant aucune CVE ayant <\/span>un impact sur la s\u00e9curit\u00e9 du produit<\/b> ou des alternatives pour les att\u00e9nuer, <\/span>l\u2019analyse contextuelle<\/b> devient un pr\u00e9requis pour ne pas impacter le d\u00e9lai de livraison et assurer la s\u00e9curit\u00e9 du logiciel. L\u2019analyse contextuelle va \u00e9galement recommander des mesures de rem\u00e9diation concr\u00e8tes, r\u00e9alisables et rentables prenant en compte les caract\u00e9ristiques et configurations sp\u00e9cifiques du conteneur. Pour la premi\u00e8re fois, les d\u00e9veloppeurs ne seront pas invit\u00e9s \u00e0 \u00ab\u00a0tout r\u00e9parer\u00a0\u00bb, mais recevront des preuves et des priorit\u00e9s pr\u00e9cises compl\u00e9t\u00e9es par des instructions sur la fa\u00e7on de r\u00e9soudre les probl\u00e8mes avec un minimum d\u2019effort. L\u2019application de l\u2019analyse contextuelle \u00e0 la fois sur le code source (via l\u2019IDE) et l\u2019analyse binaire via JFrog Advanced Security est l\u2019approche ultime qui conduira \u00e0 un logiciel s\u00e9curis\u00e9 – avec un minimum d’efforts et des correctifs r\u00e9troactifs. Les binaires sont la cl\u00e9 de vo\u00fbte du d\u00e9veloppement logiciel et une fonctionnalit\u00e9 cl\u00e9 de la plateforme JFrog.\u00a0 Leur analyse contextuelle est la solution la plus avanc\u00e9e et rationalis\u00e9e disponible sur le march\u00e9.<\/span><\/p>\n

     <\/p>\n

    Collecte de 200 images communautaires DockerHub \/ calcul du top 10 des CVE pour les images collect\u00e9es\/ scanners contextuels pour les CVE dans toutes les images\/ taux de CVE non applicables \u2013 78%<\/span><\/p>\n

    En s\u2019appuyant sur l\u2019analyse contextuelle, il est possible de faire gagner 75% de son temps \u00e0 un technicien s\u00e9curit\u00e9 sur des sc\u00e9narios standards<\/b><\/p>\n

    \"Container<\/p>\n

      \n
    1. Secrets expos\u00e9s<\/b><\/li>\n<\/ol>\n

      Bien souvent, les cl\u00e9s et autres informations d\u2019identification sont conserv\u00e9es dans des conteneurs et autres formes d\u2019artefacts. Ils peuvent appara\u00eetre sous forme de tokens et de fichiers cl\u00e9s, parfois cod\u00e9s en dur dans le binaire (ce qui est clairement une pratique inad\u00e9quate) et parfois dans des configurations et autres fichiers texte. JFrog Advanced Security est capable de tracer tous les secrets dans n\u2019importe quel conteneur stock\u00e9 dans JFrog Artifactory. Contrairement \u00e0 d\u2019autres scanners qui g\u00e9n\u00e8rent de grandes quantit\u00e9s de faux positifs en raison d\u2019approches heuristiques incorrectes, nos moteurs recherchent 900+ types de cl\u00e9s sp\u00e9cifiques et d\u2019informations d\u2019identification et sont donc tr\u00e8s pr\u00e9cis. Les r\u00e9sultats du scanner indiqueront non seulement o\u00f9 r\u00e9side le secret, mais expliqueront \u00e9galement le probl\u00e8me \u2013 la fa\u00e7on dont il est utilis\u00e9 par exemple et pas n\u00e9cessairement ses caract\u00e9ristiques sp\u00e9cifiques (tels que le chiffrement, l\u2019encodage, etc.). Comme les secrets ne r\u00e9sident pas souvent dans le code source, il devient essentiel de les rechercher sous forme binaire. En identifiant ces secrets et en les corrigeant conform\u00e9ment aux instructions du syst\u00e8me, toute fuite accidentelle de tokens internes, de cl\u00e9s ou de donn\u00e9es d\u2019identification pourra ainsi \u00eatre \u00e9vit\u00e9e ou trac\u00e9e.<\/span><\/p>\n

       <\/p>\n

      R\u00c9CUP\u00c9RATION DES TOKENS DES PRODUITS MAJEURS\/ MOD\u00c8LES G\u00c9N\u00c9R\u00c9S POUR CHAQUE PRODUIT\/MODELES TESTES POUR PLUS DE 8 MILLIONS D\u2019ARTEFACTS OSS\/ DES MILLIERS DE TOKENS ACTIFS TROUV\u00c9S ET EXPOS\u00c9S<\/span><\/p>\n

      Technologie int\u00e9gr\u00e9e aux scanners JFrog Advanced Security<\/b><\/p>\n

      \"\"<\/p>\n

        \n
      1. Utilisation non s\u00e9curis\u00e9e des biblioth\u00e8ques et des services<\/b><\/li>\n<\/ol>\n

        L\u2019une des probl\u00e9matiques les plus courantes, traditionnellement ignor\u00e9e par les solutions de s\u00e9curit\u00e9 applicatives du march\u00e9 (et qui sont relativement faciles \u00e0 utiliser par les pirates), concerne les probl\u00e8mes li\u00e9s \u00e0 <\/span>la fa\u00e7on<\/b> dont les paquets sont utilis\u00e9s et pas seulement \u00e0 <\/span>ce qui<\/b> est utilis\u00e9 (pratique courante des outils SCA). Des moteurs de s\u00e9curit\u00e9 \u00e9prouv\u00e9s vont analyser la configuration et le mode d\u2019utilisation des biblioth\u00e8ques OSS courantes (Django et Flask par exemple) et des services (tels qu\u2019Apache et Nginx) et identifieront les abus ou les erreurs de configuration qui peuvent exposer le produit logiciel \u00e0 une attaque. Les scanners prennent en compte un contexte de conteneurs plus large sugg\u00e9rant des \u00e9tapes exploitables pour conduire plus rapidement \u00e0 la rem\u00e9diation.<\/span><\/p>\n

          \n
        1. Infrastructure as code (IaC)<\/b><\/li>\n<\/ol>\n

          Si de plus en plus d\u2019organisations adoptent l\u2019IaC, un risque non n\u00e9gligeable persiste si l\u2019infrastructure est mal configur\u00e9e la transformant ainsi en maillon faible de la cha\u00eene. Par cons\u00e9quent, il est imp\u00e9ratif de s\u2019assurer que l\u2019IaC soit correctement s\u00e9curis\u00e9. Le scanner de s\u00e9curit\u00e9 IaC se concentre sur les fichiers de configuration Terraform stock\u00e9s dans JFrog Artifactory pour d\u00e9tecter de mani\u00e8re pr\u00e9coce des erreurs de configuration cloud et d\u2019infrastructure potentiellement exploitables. Afin de r\u00e9pondre \u00e0 l\u2019approche d\u2019universalit\u00e9 de JFrog, d\u2019autres types d\u2019IaC seront bient\u00f4t ajout\u00e9s pour activer une couverture compl\u00e8te.<\/span><\/p>\n

          \"Infrastructure-as-Code<\/p>\n

          Les nouvelles fonctionnalit\u00e9s de JFrog Xray incluent :<\/b><\/p>\n