Les failles dans les projets open source peuvent menacer la sécurité des applications. Aussi il existe des outils comme Snyk Open Source, une plateforme d'analyse des composants logiciels (Software Composition Analysis, SCA) capable de trouver, hiérarchiser et corriger les vulnérabilités de sécurité et les problèmes de licence dans les dépendances open source. Cette solution sera désormais accessible aux utilisateurs de ServiceNow Vulnerability Response.
Le service de Snyk s'appuie sur un ensemble de sources publiques, de données provenant de la communauté des développeurs, de recherches exclusives d'experts, d'apprentissage machine et d'IA supervisée. Composante de Security Operations, ServiceNow Vulnerability Response lie les capacités de flux de travail et d'automatisation de la plateforme Now aux données d'analyse des vulnérabilités provenant d'autres fournisseurs, lesquels incluent dorénavant les rapports de Snyk.
Quel impact pour les utilisateurs ?
« L'intégration doit permettre une collaboration DevSecOps efficace afin de renforcer la sécurité des entreprises », a déclaré Manoj Nair, Chief Product Officer de Snyk, dans un communiqué. Cette intégration est disponible pour les clients de Vulnerability Response. Elle est accessible aux clients communs de AppVR de ServiceNow et aux abonnés Open Source SCA de Snyk qui disposent de droits API. La plateforme évite aux développeurs de revenir en arrière dans leur développement pour détecter et sécuriser les vulnérabilités. Grâce à des outils avancés d'analyse des composants logiciels, elle contribue à mieux gérer la sécurité des logiciels libres.
« Grâce à ces outils, les développeurs peuvent surveiller en permanence leurs projets en cours et identifier et corriger les vulnérabilités de sécurité en temps réel, tout en évaluant automatiquement la conformité aux politiques réglementaires », a déclaré M. Nair. « Les workflows automatisés et les recommandations permettent aux développeurs de se préoccuper de la sécurité dès le début, ce qui renforce finalement la posture de sécurité de l'entreprise », a-t-il ajouté. « Avec l'intégration de Snyk, les équipes de sécurité peuvent mieux collaborer avec les développeurs et gérer et répondre de manière centralisée aux vulnérabilités open source à travers les applications », a déclaré pour sa part Lou Fiorello, VP et GM des produits de sécurité chez ServiceNow, dans un communiqué.
25 millions de dollars investis dans Snyk
Dans le cadre d'un financement de série G, ServiceNow investit également 25 millions de dollars dans Snyk, portant les investissements globaux de Snyk à 196,5 millions de dollars. Interrogée sur un lien possible entre l'investissement et l'intégration, Snyk a simplement déclaré que l'investissement de ServiceNow dans Snyk marquait un changement dans l'industrie qui s'éloignait des pratiques de cybersécurité dépassées pour s’orienter de plus en plus vers une sécurité centrée sur le développeur. « L'intégration de Snyk dans ServiceNow Vulnerability Response est un autre pas vers ces pratiques, et la disponibilité de Snyk sur l'une des plateformes IT les plus populaires rend le DevSecOps plus accessible aux entreprises », a déclaré Manoj Nair.
Au même moment où Snyk recevait ce financement de série G, l’entreprise a licencié 14 % de ses effectifs, entraînant le départ de 198 employés en Israël et aux États-Unis. Comme le rapporte Globes, ces licenciements ont eu lieu quelques mois seulement après que la société a licencié 30 employés. En février 2022, Snyk a annoncé l'acquisition de l’entreprise Fugue, spécialisée dans la sécurité et la conformité du cloud. À l'époque, Snyk avait déclaré dans un communiqué que le moteur de politiques unifiées Unified Policy Engine de Fugue était unique dans sa capacité à relier la posture du cloud au code de configuration sur la base d’un seul ensemble de politiques, afin de gérer la conformité et la sécurité tout au long du cycle de vie du développement logiciel (SDLC).