IBM a ajouté à son service IBM Cloud Continuous Delivery une fonction d'analyse des risques dans le code appelée Code Risk Analyzer qui permet aux développeurs d’effectuer des analyses de sécurité et de conformité. Configuré pour s'exécuter au début du pipeline de code du développeur, l’outil analyse et examine les dépôts Git pour identifier d’éventuels problèmes dans le code open source. Selon fournisseur, Code Risk Analyzer renforce la sécurité.
L'objectif de l’analyseur de code est de permettre aux équipes applicatives d’identifier les menaces de cybersécurité, de hiérarchiser les problèmes de sécurité pouvant affecter les applications et de résoudre les problèmes de sécurité. De manière générale, grâce à ses capacités d'analyse, le service Cloud Continuous Delivery d’IBM facilite le provisionnement des chaînes d'outils, l’automatisation des tests et des builds, et le contrôle de la qualité des logiciels.
Une analyse en profondeur
Selon IBM, les pratiques de développement natives du cloud, comme que les micro-services et les conteneurs, modifient les processus de sécurité et de conformité, et les équipes opérationnelles centralisées ne peuvent plus gérer la sécurité et la conformité des applications. D’où la nécessité pour les développeurs d’intégrer des capacités natives du cloud comme celles fournies par Code Risk Analyzer dans les flux de travail existants. Avec Code Risk Analyzer, les développeurs peuvent s’assurer de la sécurité et de la conformité des workflows courants.
Pendant le développement de Code Risk Analyzer, IBM a examiné les artefacts de source utilisés par les entreprises IT pour construire et déployer des applications et provisionner et configurer l'infrastructure Kubernetes et les services cloud. Par rapport à l'ensemble du spectre du code source, les contrôles de sécurité proposées par les solutions cloud existantes sont limités, y compris en termes d'analyse des vulnérabilités pouvant se manifester au niveau des applications. D’où la nécessité de disposer d’une solution englobant l'évaluation de la sécurité et de la conformité des artefacts.
Une courbe d’apprentissage rapide pour les développeurs
Code Risk Analyzer scanne les dépôts de code source basés sur Git pour le code Python, Node.js et Java et effectue des contrôles de vulnérabilité, des contrôles de gestion de licence et des contrôles de conformité CIS (Center for Internet Security) sur les configurations de déploiement et génère une « nomenclature » pour toutes les dépendances et leurs sources. Les fichiers Terraform utilisés pour provisionner des services cloud comme Cloud Object Store sont scannés pour repérer toute configuration de sécurité inadéquate. Pour les contrôles de sécurité effectués par son outil, IBM s’est appuyé sur des normes comme celles du NIST (National Institute of Standards and Technology ) ou du CIS (Center for Internet Security). Le fournisseur a également fait en sorte d’aplanir la courbe d'apprentissage tout en initiant les utilisateurs à de nouvelles pratiques de sécurité. Les développeurs ne sont pas obligés de comprendre les définitions et les politiques de sécurité, mais reçoivent un feedback qui leur permet d'agir en connaissance de cause.
Commentaire