Veracode lance un Dynamic Duo : DAST Essentials et Veracode GitHub App
novembre 2023 par Marc Jacob
Veracode annonce une série d’innovations produits destinées à améliorer l’expérience des développeurs. Les nouvelles fonctionnalités intègrent la sécurité dans le cycle de vie du développement logiciel (SDLC) et favorisent l’adoption de techniques de sécurité des applications dans les environnements où travaillent les développeurs.
Selon une étude récente du cabinet d’analystes IDC, 84 % des organisations déclarent que l’acceptation des outils de sécurité par les développeurs est la " condition la plus importante " ou une " condition très importante " pour l’adoption de DevSecOps[1]. Les dernières innovations de Veracode redéfinissent l’approche de la sécurisation des applications cloud-natives tout au long du SDLC, renforçant l’engagement de l’entreprise à fournir une plateforme unifiée pour la gestion complète des risques de sécurité.
La prochaine frontière : L’essentiel de DAST
Dans un monde où les applications web sont à l’origine de 60 % des failles[2] et où les attaques d’API ont grimpé en flèche de 137 % en 2022[3], il est primordial de s’assurer que les applications natives du cloud sont suffisamment protégées et qu’elles sont surveillées en permanence. L’analyse dynamique scanne les applications en production à l’aide de méthodes d’attaque réelles dans un environnement sûr et peut être effectuée en préproduction - au sein du SDLC. Les solutions ponctuelles traditionnelles ne sont pas à la hauteur et n’offrent souvent pas l’évolutivité et la flexibilité requises par les entreprises en pleine croissance. En revanche, Veracode DAST Essentials est une solution agile qui permet aux développeurs et aux équipes de sécurité d’aborder les risques facilement, rapidement et à grande échelle.
« Alors que les entreprises continuent de se débattre avec le défi de sécuriser une surface d’attaque en constante expansion, le besoin de solutions complètes est indéniable. Concilier vitesse de développement et sécurité robuste est une tâche ardue, entravée par la nature chronophage des analyses dynamiques régulières et la déconnexion entre les équipes de développement et de sécurité », a déclaré Katie Norton, analyste de recherche senior, DevOps et DevSecOps, chez IDC. « Les solutions, comme Veracode DAST Essentials, qui sont intégrées et réduisent les frictions pour les développeurs peuvent contribuer à accélérer le développement de logiciels sécurisés, à unifier les efforts de remédiation et à donner aux organisations les moyens de renforcer leurs défenses dans le paysage évolutif de la cybersécurité ».
Avec l’un des taux de faux positifs les plus bas rapportés par les clients (moins de 5 %), Veracode DAST Essentials analyse et teste simultanément plusieurs applications Web et API (interfaces de programmation d’applications). L’étude State of Software Security de Veracode a révélé que 80 % des applications Web présentent des vulnérabilités critiques qui ne peuvent être identifiées qu’au moyen d’une analyse dynamique. Cela souligne le rôle essentiel que joue DAST (Dynamic Application Security Testing) dans un programme robuste de sécurité des applications, en veillant à ce que les organisations puissent traiter avec précision et rapidité les vulnérabilités exploitables dans les logiciels natifs du cloud.
Manhattan Associates, spécialiste des solutions Supply Chain, a choisi de s’associer à Veracode pour son programme d’analyse dynamique et de sécurité cloud-native. Rob Thomas, vice-président exécutif de la recherche, du développement et des opérations cloud chez Manhattan Associates, a déclaré : « L’ancienneté de Veracode dans le secteur et le fait qu’ils soient basés sur le cloud signifient qu’ils peuvent continuellement apporter de nouvelles innovations. Le fait d’avoir un partenaire cloud-native comme Veracode nous permet d’analyser notre logiciel en permanence, ce qui nous donne l’assurance en temps réel que notre solution est aussi sûre que possible. »
Améliorer les workflow des développeurs : Veracode GitHub App
Veracode comprend les défis auxquels les développeurs sont confrontés lorsqu’ils adoptent des mesures de sécurité « cloud-native » sans perturber leurs workflows. Veracode GitHub App facilite l’adoption par les développeurs, en permettant aux équipes de sécurité applicative de la configurer une seule fois et d’intégrer les développeurs de manière transparente. Cette intégration permet aux développeurs de corriger rapidement le code dans les environnements où ils travaillent avec un seul outil pour l’analyse statique, l’analyse des dépendances et des composants Open source (SCA) et l’analyse de la sécurité des conteneurs. Le résultat est un processus de développement plus rapide et sans friction qui ne compromet pas la sécurité.
Amélioration de l’analyse Repo
L’analyse des applications cloud-natives pour la première fois est souvent un processus manuel, complexe et frustrant. Veracode GitHub App simplifie ce processus en fournissant aux développeurs des résultats d’analyse disponibles dans leur environnement préféré. Les équipes DevOps peuvent facilement intégrer aux analyses sécurité des référentiels sans configuration manuelle, ce qui permet de maintenir la vitesse de développement et de rationaliser les processus d’analyse. Grâce à la possibilité de normaliser les configurations d’analyse sur des centaines de référentiels en un seul clic, les équipes DevOps peuvent réduire les frictions et intégrer la sécurité cloud-native bien plus tôt dans le cycle de développement.