Veracode Static Analysis est disponible
février 2020 par Marc Jacob
Veracode annonce le lancement de Veracode Static Analysis nouvelle génération. La dernière version de la solution permet d’effectuer des analyses complètes tout au long du cycle de vie du développement. Pour cela, elle intègre notamment une nouvelle fonctionnalité optimisée, Pipeline Scan, qui est utilisée lorsque le code est envoyé au processus de build. Veracode Static Analysis fait partie de la plateforme SaaS de Veracode qui allie fonctions exhaustives d’analyse de la sécurité logicielle, soutien des développeurs et gouvernance AppSec (avec des frameworks de conformité et des analyses de pointe).
Veracode Static Analysis est une solution DevSecOps pour les entreprises qui misent sur les logiciels pour innover et qui ont besoin de fournir du code sécurisé dans le respect des délais. La gamme de produits Veracode Static Analysis comprend :
• IDE Scan : avec IDE Scan (anciennement Veracode Greenlight), les développeurs peuvent détecter les failles avant un commit, au moment même où ils écrivent leur code. Grâce à cette approche de sécurité innovante, les problèmes qu’il reste à détecter sont plus faciles et moins coûteux à résoudre. En générant des résultats en 3 secondes à peine (valeur médiane), IDE Scan limite le nombre de défauts introduits et permet aux développeurs de fournir du code sécurisé, tout en restant dans les délais et en évitant les tâches non planifiées. Enfin, l’analyse du code au fil de l’eau et la suggestion de mesures correctives font d’IDE Scan un outil de formation pratique idéal pour sensibiliser les développeurs à la sécurisation de leur code.
• Pipeline Scan : unique sur le marché, cette nouvelle analyse répond aux exigences DevSecOps des développeurs et les aide à résoudre rapidement les problèmes de sécurité dans le pipeline, avec un délai médian d’analyse de seulement 90 secondes. Aujourd’hui, dans un environnement d’intégration continue, il est essentiel d’obtenir un feedback rapide sur chaque build pour que les développeurs puissent appliquer avec succès les pratiques DevSecOps. C’est à ce besoin que répond Pipeline Scan, tout en limitant aussi les coûteuses tâches imprévues.
• Policy Scan : avant le lancement d’un logiciel, Policy Scan effectue une évaluation complète du code avec une piste d’audit, à des fins de gestion et de conformité. Cette analyse complète incluant une journalisation détaillée dure 8 minutes en médiane. Par ailleurs, les équipes de développement peuvent également obtenir un aperçu de la conformité dans un environnement sandbox, avant de communiquer les résultats aux équipes en charge de la sécurité et de la gouvernance. Chaque application est évaluée en fonction de la politique de sécurité de l’entreprise, pour des résultats sans ambiguïté.
Veracode Static Analysis permet d’effectuer des analyses régulières et anticipées et propose aux développeurs des conseils clairs sur les problèmes à cibler et sur les méthodes à adopter pour une résolution rapide. La solution permet aussi d’analyser entièrement une application pour répondre aux exigences de l’équipe de sécurité. Grâce à cela, une grande entreprise technologique a pu réduire de 79 % le nombre de nouveaux défauts introduits dans sa branche principale, ce qui représente environ 150 000 failles.
Veracode Static Analysis garantit une précision maximale avec un taux de faux positifs inférieur à 1,1 % sans réglage manuel, d’après les 14 milliards de lignes de code analysées via la plateforme SaaS de Veracode.