Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CA Technologies acquiert SourceClear

avril 2018 par Marc Jacob

Alors que les logiciels deviennent un élément fondamental des produits et services délivrés par les entreprises dans tous les secteurs, on constate que ces entreprises élaborent leur propre usine logicielle interne pour rendre leurs applications plus rapides, plus performantes et plus sécurisées.

Ces objectifs entraînent également une utilisation accrue des bibliothèques open source. Cela économise du temps aux développeurs, réduit les délais de mise sur le marché et l’inefficacité due à la réécriture du code pour les fonctionnalités déjà construites. Cependant avec l’augmentation constante des failles de sécurité, une attention particulière doit être portée sur les bibliothèques open source. Une récente étude sur l’analyse des applications Java, a permis d’observer que 88% d’entre elles présentaient au moins une vulnérabilité de ses composants, notamment open source. En 2017, c’est la vulnérabilité d’un composant open source au sein d’un serveur web d’Equifax qui a exposé les données financières de 143 millions d’Américains. Une faille qui a coûté plusieurs centaines de millions de dollars à Equifax.

C’est pour résoudre ce problème de risque des composants open source, que CA Technologies annonce l’acquisition de SourceClear, un leader technologique dans l’analyse de la composition logicielle (ou SCA - Software Composition Analysis). Fondée en 2013 par Mark Curphey, le créateur d’OWASP (Open Web Application Security Project), SourceClear est une startup basée à San Francisco. La société propose un outil d’analyse de composition logicielle en mode SaaS, qui s’appuie sur une base de données de vulnérabilités propriétaire allant bien au-delà de la NVD (National Vulnerability Database) et d’une technologie d’évaluation des vulnérabilités qui augmente la capacité d’action des solutions de SCA.

La solution SCA de SourceClear indique non seulement quelles applications ont un composant vulnérable, mais aussi, si la fonctionnalité est utilisée ou non - ce qu’aucune autre solution SCA ne peut proposer. Cela réduit considérablement les faux positifs liés aux fonctions qui existent dans une bibliothèque open source mais qui ne présentent aucun risque pratique car elles ne sont pas utilisées par l’application. Il permet également aux développeurs de hiérarchiser les composants à réparer, ce qui permet de gagner du temps tout en réduisant les risques.

Dans certains cas, les vulnérabilités causant des violations sont bien connues et documentées. Mais dans d’autres cas, elles ne sont pas incluses dans la base de données nationale sur la vulnérabilité (NVD). Et avec le nombre croissant de bibliothèques open source, il peut être difficile pour les entreprises de savoir quel composant et quelle version sont sécurisés. SourceClear estime que si la création de nouvelles bibliothèques se poursuit au même rythme, il y aura près d’un demi-milliard de bibliothèques open-source disponibles pour les développeurs dans une décennie.


Voir les articles précédents

    

Voir les articles suivants