Une innovation qui permet de découvrir les vulnérabilités créées par l’interaction du code source avec des bibliothèques tierces
GENÈVE–(BUSINESS WIRE)–Sonar, le principal fournisseur de solutions Clean Code, a annoncé aujourd’hui une avancée significative de son offre Clean Code : les développeurs peuvent désormais découvrir et corriger automatiquement les problèmes de sécurité du code découlant des interactions entre le code source de l’utilisateur et les bibliothèques tierces à code source ouvert.
Cette nouvelle détection avancée, appelée SAST approfondi, s’attaque aux problèmes que les outils SAST traditionnels ne détectent pas, car ils ne suivent pas le flux au sein du code de la bibliothèque. Les fournisseurs de SAST traditionnels analysent le code de l’application de l’utilisateur. Ces outils n’analysent pas le code combiné et signalent les bibliothèques de manière non sophistiquée, en ignorant le contexte et l’utilisation au sein de la bibliothèque. Il en résulte que les fonctionnalités des bibliothèques sont considérées comme des boîtes noires, ce qui laisse les organisations dans l’incertitude quant à leur sécurité réelle dans un contexte donné. En outre, ces outils ne prennent généralement en charge qu’une poignée de structures populaires, ce qui nécessite souvent des configurations initiales pour l’installation. Tout cela fait que les problèmes de sécurité créés par l’utilisation unique de bibliothèques open source tierces ne sont pas détectés.
« Le code reste du code, qu’il soit écrit par un développeur de votre équipe ou qu’il fasse partie d’une bibliothèque qui résout un problème spécifique. Ces deux approches différentes m’ont toujours gêné, et je suis ravi que nous soyons maintenant capables d’analyser n’importe quel code de la même manière en une seule fois, résolvant ainsi ce qui était considéré comme un problème impossible à résoudre », déclare Olivier Gaudin, PDG et cofondateur de Sonar. « Avec les avancées en matière de SAST approfondi qui ont été apportées à notre solution Clean Code, les organisations peuvent découvrir ces vulnérabilités et les résoudre rapidement tout au long du développement du code. »
Sonar comble les lacunes du SAST traditionnel grâce à une analyse fine des interactions entre le code source de l’utilisateur et les dépendances externes, sans nécessiter de configuration spéciale ni de coûts supplémentaires. Cette innovation en matière de SAST va dans le sens de la mission de Sonar, qui consiste à équiper les organisations pour qu’elles atteignent un état de Clean Code, c’est-à-dire un code cohérent, intentionnel, adaptable et responsable. Lorsque le code adhère à ces caractéristiques, le logiciel devient fiable, maintenable et sécurisé.
« Il est estimé que plus de 90 % des applications utilisent des bibliothèques tierces et interagissent avec le code qu’elles contiennent, mais la plupart des outils SAST n’indiquent pas aux développeurs quelles dépendances rendent leur code vulnérable. La sécurité est essentielle, et plus vous trouverez de problèmes et les réglerez avant qu’ils ne puissent vous nuire, mieux votre entreprise se portera », déclare Rik Turner, analyste principal en cybersécurité chez Omdia. « C’est l’essence même de la vague de sécurité proactive que nous observons dans le secteur de la cybernétique : trouver le problème et le résoudre avant qu’il ne soit exploité. »
La fonctionnalité SAST approfondi de Sonar est disponible sans frais supplémentaires dans les éditions commerciales de SonarQube (autogéré) et SonarCloud (basé sur le cloud) — des outils d’analyse statique de code de pointe qui inspectent et analysent en permanence la base de code en utilisant des portes de qualité pour déterminer si le code répond aux normes définies pour le développement et la production. Le SAST approfondi prend actuellement en charge les langages de programmation Java, C# et TypeScript et couvre des milliers de bibliothèques open source parmi les plus importantes et les plus couramment utilisées, y compris leurs dépendances ultérieures (transitives).
Obtenir un état de code propre
Sonar permet aux équipes de développement d’écrire du code propre en leur fournissant de bons outils et des bonnes pratiques, afin qu’elles passent moins de temps à résoudre les problèmes et plus de temps à atteindre les objectifs de livraison et commerciales. En associant la solution Sonar à la méthodologie Clean as You Code de l’entreprise, à savoir des normes établies pour maintenir la propreté du code nouveau, ajouté ou modifié, et à son guide éducatif pour le code appelé « Learn as You Code », les développeurs peuvent remédier aux problèmes et livrer plus rapidement, améliorer le code et favoriser le développement professionnel et la fidélisation de l’équipe. Aujourd’hui, plus de sept millions de développeurs utilisent Sonar.
Sonar s’engage aussi activement auprès de son écosystème et des communautés de clients, en plus de partenariats avec plusieurs universités pour des projets de recherche sur la sécurité, ainsi qu’avec les communautés open source et de startups. Sonar dispose en outre d’une équipe dédiée de chercheurs en sécurité qui trouvent et divulguent de manière responsable les vulnérabilités exploitables de type « zero-day » dans des logiciels open source ; ces découvertes sont utilisées comme source d’inspiration pour de nouvelles règles de sécurité et détections pour aider à trouver des vulnérabilités.
En savoir plus sur notre innovation SAST approfondi et notre solution Sonar (SonarQube, SonarCloud, SonarLint). Rencontrez les experts de Sonar à Black Hat USA, stand n° 2760, du 8 au 10 août.
À propos de Sonar
Sonar permet aux développeurs et aux organisations d’atteindre systématiquement un état de code propre (Clean Code) afin que tout le code soit adapté au développement et à la production. En appliquant la méthodologie Sonar Clean as You Code, les organisations minimisent les risques, réduisent la dette technique et tirent plus de valeur de leurs logiciels de manière prévisible et durable.
La solution Sonar open source et commerciale, à savoir SonarLint, SonarCloud et SonarQube, prend en charge plus de 30 langages de programmation, frameworks et technologies d’infrastructure. Reconnu par plus de 400 000 organisations dans le monde pour nettoyer plus d’un demi-billion de lignes de code, Sonar fait partie intégrante de la production de meilleurs logiciels.
Pour en savoir plus sur Sonar, rendez-vous sur https://www.sonarsource.com/company/about/.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Contacts
Katie Hyman
Responsable des relations publiques, Sonar
katie.hyman@sonarsource.com