Flexera lance la nouvelle version de sa plateforme de sécurité et conformité des logiciels open source
janvier 2018 par Marc Jacob
Flexera annonce la nouvelle version de FlexNet Code Insight. Cette dernière permet aux entreprises de maîtriser les vulnérabilités des logiciels open source (OSS) et d’assurer la conformité de leurs licences de façon intelligente, grâce à des capacités d’analyse rapide et automatisée, et à une supervision continue. FlexNet Code Insight est une solution complète d’analyse de code source -des examens globaux et rapides aux plus détaillés. Les éditeurs et les acheteurs peuvent ainsi identifier les segments présentant des risques élevés, trier les problèmes par ordre de priorité, et canaliser leurs efforts sur des projets où des analyses approfondies doivent être effectuées dans un souci de sécurité et de conformité.
L’analyse de code source : un processus essentiel pour la sécurité des applications et la protection de la propriété intellectuelle
Les vulnérabilités au niveau du code source sont un problème qui concerne tous les logiciels. Les éditeurs et les fournisseurs d’objets connectés et intelligents (IdO) ont donc l’immense tâche de les suivre, de les gérer et de les maîtriser. En effet, les acheteurs doivent être en mesure de comprendre, d’identifier et de corriger les vulnérabilités critiques afin de minimiser leur exposition. FlexNet Code Insight utilise une approche simple et pratique afin d’aider les entreprises à se protéger. La solution s’intègre en toute simplicité aux outils existants de gestion des builds afin d’automatiser les analyses de sécurité. Les vulnérabilités peuvent ainsi être découvertes et corrigées rapidement, ce qui limite les risques, ainsi que les coûts et les efforts investis.
Dans le monde d’aujourd’hui, une application présentant un jour un risque faible peut nécessiter un examen approfondi le lendemain. FlexNet Code Insight permet aux entreprises d’adapter leurs processus rapidement et d’ajuster la profondeur de l’analyse de leurs différentes applications en fonction de leurs profils de risque.
Détection de l’ensemble des éléments open source -des paquets aux extraits de code
La nouvelle version de FlexNet Code Insight permet aux entreprises novices en la matière de se lancer en toute simplicité dans l’analyse des composants open source, puis elle met en évidence les éléments présentant des risques élevés sur un tableau de bord unifié. Quant aux organisations ayant déjà mis en place des processus de sécurité et de conformité des licences plus matures, elles peuvent également s’en servir pour effectuer des analyses plus détaillées et profiter de ses capacités intégrées d’automatisation.
FlexNet Code Insight repère tous les éléments indicateurs de la présence de logiciels open source, et souligne les problématiques de sécurité et de conformité qui peuvent en découler. La solution peut tout aussi bien effectuer des analyses globales de paquets que mener des examens plus détaillés détectant même des extraits de code. La nouvelle version assure également la découverte de paquets open source afin d’éliminer les risques de sécurité et de conformité des conteneurs Dockers, des dépendances des builds, des sous-composants, du code source, du code source modifié et des fichiers binaires. Les clients peuvent également repérer du code tiers commercial au sein de leurs applications, et tirer parti de différentes méthodes de détection pour obtenir une meilleure connaissance de leur chaîne d’approvisionnement de logiciels.
Scanner, superviser, corriger
De nos jours, l’automatisation occupe une place de choix dans les processus de développement et les tests grâce à ses avantages en matière de rapidité et de fiabilité. FlexNet Code Insight s’intègre désormais avec des outils classiques de création de builds et des serveurs d’intégration continue afin d’automatiser les analyses au cours du processus de développement de logiciels. Cette nouvelle version est également dotée de plugins populaires auprès des utilisateurs, et offre aux clients la possibilité de créer leurs propres intégrations personnalisées en fonction de leurs besoins.
Des tableaux de bord et des alertes hiérarchisées permettent aux équipes dédiées d’identifier les problèmes des OSS en matière de sécurité et de conformité. De leur côté, les ingénieurs peuvent analyser plus en profondeur les composants open source utilisés, les localiser au milieu de leur code, et accéder à des renseignements détaillés sur les licences et les vulnérabilités afin d’éliminer les risques pour la sécurité et la propriété intellectuelle.
La pertinence des alertes et aux autres analyses dépend directement de la qualité des données sur lesquelles elles s’appuient. FlexNet Code Insight tire parti des informations de la base de données nationale américaine sur les vulnérabilités (National Vulnerability Database) et des renseignements de l’équipe Secunia Research pour alerter les entreprises de la présence de vulnérabilités dans des applications encore utilisées ou désuètes. L’équipe de Secunia Research effectue à la fois des analyses approfondies des failles et des évaluations de leur impact sur les systèmes. La dernière version de FlexNet Code Insight propose des données détaillées sur 13 millions de composants open source, la prise en charge de 25 langues et plus de 70 extensions, ainsi qu’un framework de détection étendu afin de suivre et superviser le code open source et tiers.