Fondée en 2023, après quelques trimestres en mode confidentiel pour assurer le développement de son produit à l’abri des regards, la start-up israélienne Oligo Security commercialise son logiciel éponyme, apportant une approche repensée de la sécurité (surveillance, observabilité et remédiation) des applications reposant sur des packages open source. Utilisant une technologie baptisée extended Berkeley Packet Filter (eBPF), elle est capable de réaliser une analyse sans agent du code réexploité.

Étant donné la prévalence du code open source dans les logiciels modernes - Oligo affirme qu'il représente quelque chose comme 80 ou 90 % - la recherche de vulnérabilité potentielle est devenue une nécessité dans les entreprises désirant contrôler plus finement le travail final des développeurs. La génération actuelle de solutions est toutefois "brouillonne", selon Oligo. Elle aurait tendance à produire beaucoup de faux positifs et à ne pas contextualiser les alertes dans un temps d'exécution donné. Cette dernière tendance n'est pas utile pour établir des priorités de remédiation.

 

Le tableau de bord d'Oligo Security rapporte les vulnérabilités dans le code open source des apps. (Crédit : Oligo)

La plupart des outils de surveillance de la sécurité de ce type sont basés sur le RASP (Runtime application self-protection), qui nécessite un agent installé au plus de l'application, selon Jim Mercer, vice-président de la recherche d'IDC pour devops et devsecops. L'eBPF, en revanche, permet aux programmes de s'exécuter à l'intérieur du système d'exploitation, agissant comme une machine virtuelle dans le noyau qui permet la collecte de données à partir des applications et des ressources réseau, offrant un niveau granulaire d'observabilité et permettant la création d'un SBOM (software bill of materials) dynamique. « L'un des principaux avantages de la solution Oligo est qu'elle est sans agent et qu'elle exploite l'eBPF », a déclaré M. Mercer. « Une critique traditionnelle de la technologie RASP est que l'agent introduit une certaine surcharge dans votre application. » 

Oligo contextualise les alertes de sécurité

De plus, puisque l'offre Oligo, basée sur eBPF et sans agent, fonctionne au niveau du système d'exploitation, elle peut mettre les alertes en contexte - en donnant la priorité aux corrections des vulnérabilités qui sont des déviations actives de la politique de permission d'une bibliothèque de code donnée, explique la start-up. Cela permet de gagner du temps de développement en se concentrant sur les surfaces d'attaque réelles, et pas seulement sur les vulnérabilités potentielles connues. L'approche d'Oligo, cependant, n'est pas sans écueils potentiels, selon M. Mercer. Tout d'abord, elle n'est conçue que pour détecter les vulnérabilités connues, alors que certains types de systèmes basés sur le RASP peuvent identifier de nouvelles insécurités dans le code natif et le code source ouvert. En outre, le système d'alerte plus sélectif peut, s'il est configuré de manière inexperte, passer à côté de problèmes potentiellement graves.

« Je soupçonne que la clé ici est une gestion saine des politiques, et il pourrait incomber à Oligo de fournir un contenu qui peut aider les organisations à écrire des politiques sûres, sans être gênés par les perturbations », a déclaré M. Mercer. Néanmoins, l’analyste a noté que l'approche d'Oligo est susceptible d'attirer une grande variété de clients potentiels, étant donné l'omniprésence susmentionnée du code source ouvert, et pourrait même être utilisée pour rechercher des vulnérabilités dans les logiciels commerciaux. « Dans l'ensemble, [l'approche plus sélective d'Oligo] est probablement une bonne chose, car il existe des bibliothèques open source que vous pouvez utiliser et qui présentent des vulnérabilités, mais vous ne les utilisez pas de manière vulnérable », a-t-il déclaré. La technologie de la société est déjà utilisée par des entreprises sur les marchés de l'informatique, des logiciels d'analyse et de l'immobilier, bien que les données actuelles sur les prix et la disponibilité n'aient pas été immédiatement disponibles. D'autres entreprises de cybersécurité ont également exploité l'eBPF. Par exemple, en août de l'année dernière, Traceable AI a ajouté eBPF à sa plateforme de sécurité pour une observabilité et une visibilité plus approfondies des API.