Quels changements engager entre développeurs et équipes de sécurité IT pour améliorer le développement sécurisé des applications ? Comment bâtir un programme AppSec ? Comprendre la supply chain de la sécurité pour les développeurs ? Trois sujets parmi ceux abordés sur la SnykCon, du 5 au 7 octobre, par Snyk, fournisseur d’outils de sécurisation du code, des dépendances, des conteneurs et de l’infrastructure as a code. Ces interventions et les sessions techniques sont accessibles sur le site de l’événement à l’occasion duquel l’éditeur basé à Boston a également présenté des évolutions sur ses produits.
Au sein de la Developer Security Platform qui comporte plusieurs solutions, l’outil de test statique, Snyk Code, recourt à l’analyse sémantique pour présenter aux développeurs les bugs de sécurité et de performance pendant qu’ils codent. Parmi les langages supportés figurent maintenant C#, Ruby, PHP et Go qui s’ajoutent à Java, Javascript et Python. La 2ème brique de la plateforme, Snyk Open Source, trouve et répare les vulnérabilités dans les dépendances open source à travers le processus de développement. Snyk lui apporte une nouvelle prise en charge du langage Elixir et des gestionnaires de packages Yarn 2 et Poetry. S’y ajoutent des intégrations natives avec Atlassian BitBucket et AWS CodePipeline, ainsi que l’intégration de la technologie de scanning C++ approfondie rachetée avec FossID. La brique Snyk Container bénéficie quant à elle d’une prise en charge étendue du registre de containers pour Quay, Github Container Registry, GitLab, Google Artifact Registry et Harbor, entre autres. La brique profite aussi d’une évolution du support de l’outil d’analyse de conteneurs Trivy avec la base de vulnérabilités de Snyk.
Les Snyk Apps basées sur l'API Snyk v3
Sur la partie Infrastructure as Code, Snyk a fait évoluer la détection des problèmes de configuration sur Kubernetes dans le code Terraform, avec une compatibilité pour AWS, Azure et GCP. Du côté de l’API Snyk, la v3, basée sur la dernière version d’OpenAPI est trois fois plus rapide, assure l’éditeur, et elle s’étend à de nouveaux terminaux.
Au cours de la SnykCon, l’éditeur a également annoncé les Snyk Apps qui permettent d’intégrer les fonctionnalités de la plateforme dans des workflows spécifiques. Par exemple, en créant une application qui diffuse les résultats des tests de sécurité de Snyk dans un outil de gestion des incidents, expose l’éditeur. Les Snyk Apps s’appuient sur l’API Snyk v3 et sur OAuth 2.0 pour installer des permissions granulaires.