Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

5 recommandations de Veracode visant à protéger les logiciels Open Source des start-up

mai 2019 par Veracode

Le salon Viva Technology, qui met à l’honneur les innovations technologiques portées par les start-up les 16, 17 et 18 mai à Paris Expo Porte de Versailles, est une occasion unique de se pencher sur les méthodes d’ingénierie logicielle utilisées par bon nombre de pépites mondiales. Collaboratif et plus accessible financièrement aux utilisateurs qui ne peuvent se permettre les droits de licence, l’Open Source est un concept à la fois développé par et pour les start-up. Par les start-up, car Open Source rime avec innovation, à travers la communautarisation des pratiques et la mutualisation des connaissances. Pour les start-up, car la méthode est éminemment économe au contraire de logiciels propriétaires coûteux et moins évolutifs. L’émergence de l’Open Source est ainsi l’un des vecteurs essentiels à l’innovation de nos start-up ; encore faut-il s’assurer de son bon fonctionnement et de sa sécurité. C’est pourquoi Veracode, entreprise experte en cybersecurité depuis 2006, livre 5 conseils visant à assurer la protection du « code source ouvert » de sa start-up.

1. Etre conscient des faiblesses inhérentes aux composants Open Source

Aujourd’hui, alors que 5 millions de bibliothèques Open Source ont été recensées et que 500 millions nouvelles bibliothèques seront créées d’ici la prochaine décennie, le vecteur de menace pour les entreprises ayant recours à l’Open Source est accru ; en effet, si celui-ci permet davantage d’efficacité collaborative, cela signifie également que les développeurs héritent des vulnérabilités qui s’y associent. La menace est donc multipliée.

2. Connaître l’environnement cybercriminel actuel et son évolution face à l’émergence de l’Open Source

L’état d’esprit des cyber-attaquants évolue : les hackeurs peuvent ainsi générer plusieurs vulnérabilités en une seule attaque au lieu de pirater les logiciels un par un. C’est pourquoi on constate une recrudescence de piratage de bibliothèques Open Source, de plus en plus ciblées par la cybercriminalité.

3. Maîtriser sa propre chaîne logistique de logiciel

Les entreprises qui gèrent leur chaîne logistique de logiciels détiennent un avantage comparatif certain sur celles qui ne font pas de même. Bien contrôlée et protégée par des analyses fréquentes qui corrige en priorité les composants les plus risqués la chaîne logistique peut devenir garante de la sécurité informatique de son entreprise.

4. Utiliser les bons outils afin d’identifier les vulnérabilités au plus vite

Davantage d’automatisation et de machine learning sont deux clés permettant d’identifier, pister et partager les vulnérabilités découvertes avec les développeurs. D’ici là, des initiatives telles que le lancement Les de programmes Bug Bounty, permettant à tout individu de percevoir une compensation financière après report d’un bug portant atteinte à la sécurité informatique d’une application ou d’un logiciel, accroissent les chances d’identifier des failles.

5. Recourir aux programmes DevSecOps

Le State of Software Security, publié par Veracode fin 2018, a montré que les programmes DevSecOps les plus actifs corrigeaient les vulnérabilités informatiques plus de 11,5 fois plus rapidement qu’une entreprise ordinaire. Une différence colossale permise par des scans permanents, effectués lors des configurations logicielles constantes.




Voir les articles précédents

    

Voir les articles suivants