Qualys garantit la sécurité des applications Web pour les équipes DevOps
avril 2018 par Marc Jacob
Qualys, Inc. annonce de nouvelles fonctionnalités pour ses offres de sécurité des applications Web qui permettront d’automatiser et d’optimiser les opérations DevSecOps globales tout au long du cycle de vie du développement logiciel (SDLC). Il en résultera aussi une réduction sensible du coût de remédiation des failles de sécurité au sein des applications et avant leur lancement en production.
Comme Qualys Web Application Scanning (WAS) 6.0 supporte désormais la version 2.0 de Swagger, les équipes DevOps peuvent rationaliser les évaluations des API REST et connaître plus rapidement l’état de la sécurité des backends des applications mobiles et des services destinés à l’Internet des Objets (IoT). De plus, un nouveau plug-in natif pour Jenkins procède à une analyse automatisée des vulnérabilités affectant les applications Web pour les équipes qui utilisent le célèbre outil CI/CD à intégration continue et à développement continu. En outre, il est dorénavant possible d’utiliser Qualys Browser Recorder, une extension gratuite pour le navigateur Google Chrome afin d’analyser sans peine les scripts de navigation dans les workflows complexes d’authentification et métier au sein des applications Web.
Qualys WAS 6.0 et ses nouvelles fonctionnalités fournissent :
Une analyse des API REST (REpresentational State Transfer) basées sur Swagger. En plus d’analyser les services Web SOAP (Simple Object Access Protocol), Qualys WAS s’appuie maintenant sur la spécification Swagger pour tester les API REST. Il suffit que le fichier (au format JSON) de la version 2.0 de Swagger soit visible du service d’analyse pour vérifier automatiquement s’il existe des failles de sécurité applicatives courantes au sein des API.
Un plug-in pour Jenkins - Grâce au plug-in Qualys WAS Jenkins, l’équipe DevOps peut intégrer des scans de vulnérabilités applicatives à leurs processus CI/CD existants. Ainsi, les tests de sécurité des applications peuvent être réalisés plus en amont du cycle SDLC pour capturer et éliminer les failles de sécurité et donc réduire sensiblement le coût de remédiation par rapport à une exécution de tests plus tardive dans le cycle SDLC.
Qualys Browser Recorder – Avec cette nouvelle extension pour Chrome, il est possible d’enregistrer l’activité du navigateur Web et de sauvegarder les scripts pour lancer des tests répétés et automatisés. Ces scripts sont ensuite lus dans Qualys WAS afin que le moteur d’analyse puisse parcourir sans problème les workflows complexes d’authentification et métier. Gratuite, l’extension Qualys Browser Recorder est disponible pour tout le monde (et pas seulement pour les clients Qualys) via le Chrome Web Store.
– Prix et disponibilité
Qualys WAS 6.0 est disponible dès maintenant sous la forme d’un abonnement annuel calculé selon le nombre d’applications Web. Les abonnements annuels commencent à partir de 1569 euros.