Des start-ups spécialisées dans la sécurité de la supply chain logicielle

L'équipe d'Endor Labs dont le projet est notamment financé par le fonds Lightspeed. (Crédit Endor Labsà

L'équipe d'Endor Labs dont le projet est notamment financé par le fonds Lightspeed. (Crédit Endor Labsà

Les jeunes pousses financées par du capital-risque se concentrent sur les devsecops, la chaîne d'approvisionnement des logiciels et la sécurisation du cycle de vie du développement logiciel. Sept d'entre elles étaient présentes à la RSA Conference (RSAC), organisée début mai à San Francisco.

AppSentinels analyse les flux et les processus

Cette plateforme de sécurité API complète couvre l'ensemble du cycle de vie des applications. Le produit effectue des analyses approfondies des activités de l'application et examine ses flux de travail en détail. Une fois que le produit AppSentinels comprend les flux, il peut les tester contre une variété de failles potentielles et utiliser ces informations pour se protéger contre les attaques complexes de la logique métier dans les environnements de production. AppSentinels explique que son équipe a développé des modèles complexes capables de comprendre la fonctionnalité de chacune des applications de l'entreprise, ainsi que les flux de travail et les processus internes, afin de renforcer leur protection. Grâce à cette compréhension intelligente des flux de processus, AppSentinels peut contrecarrer les attaques potentielles. Le produit utilise plusieurs modèles d'IA, notamment des modèles de logique de graphe, des modèles de cluster non supervisés et des modèles d'espace d'état pour renforcer à la fois le flux de travail et les applications elles-mêmes.

Endor Labs retrace l'ensemble des dépendances

Le principal objectif de cette jeune pousse de la sécurité de la chaîne d'approvisionnement des logiciels est d'améliorer la productivité des développeurs. La start-up vise à rationaliser le flux de travail des développeurs et à leur faire gagner du temps et de l'argent en hiérarchisant efficacement les alertes et les vulnérabilités. Contrairement à d'autres outils qui inondent les développeurs de faux positifs, entraînant une certaine lassitude, Endor Labs s'efforce de fournir des conseils clairs sur les problèmes à traiter en priorité et de faciliter une résolution rapide. Sa solution utilise l'analyse d'accessibilité pour comprendre les fonctions appelées par les paquets et leurs dépendances, en retraçant l'ensemble du chemin d'appel pour identifier les dépendances spécifiques utilisées par les différentes versions d'un paquet. De plus, Endor Labs évalue si un morceau de code présentant une vulnérabilité est activement utilisé dans l'application, de façon à offrir des informations précises qui vont au-delà de ce qui est simplement déclaré dans le fichier manifeste. 

Alors que certains outils de sécurité se concentrent sur les vulnérabilités répertoriées dans le fichier manifeste, Endor Labs adopte une approche différente en effectuant une analyse de programme pour établir des graphes d'appel et identifier le code développé de manière statique comme source de vérité. En donnant la priorité aux dépendances activement utilisées par l'application, Endor Labs essaye de livrer une évaluation plus précise des vulnérabilités présentes dans le code développé. En plus de traiter tous les composants comme des dépendances, Endor Labs étend cette approche aux processus CI/CD, offrant ainsi une visibilité sur les outils utilisés dans le pipeline. Tout cela aide les codeurs à identifier les outils sanctionnés et non sanctionnés, garantissant ainsi une meilleure conformité en matière de sécurité. En outre, Endor Labs évalue la position des référentiels dans le pipeline CI/CD et prend en charge la signature des artefacts pour les attestations de conformité, ce qui renforce encore les mesures de sécurité.

Lineaje assure la découverte des dépendances implicites

Sous l'impulsion de fondateurs, experts dans le développement de logiciels d'extrémité et d'exécution, Lineaje s'emploie à fournir une gestion complète de la sécurité de la chaîne d'approvisionnement des logiciels. Suite à des incidents comme le piratage SolarWinds et la porte dérobée XZ Utils, Lineaje a été conçu pour traiter les vulnérabilités dans les chaînes logicielles et les pipelines de construction, des domaines généralement inaccessibles aux logiciels de runtime. La plateforme unifiée de Lineaje peut disséquer n'importe quel objet, que ce soit un code source, un paquet ou un conteneur, pour dévoiler sa structure de composants ou son arbre de dépendances et le soumettre à une analyse en s'appuyant sur une variété de sondes open source et propriétaires de Lineaje. Ce dernier agrège ensuite ces données et utilise un module d'intelligence artificielle pour les analyser. Lineaje fonctionne non seulement au sein du pipeline CI/CD interne, mais s'étend également aux composants open source provenant de pipelines CI/CD externes. D'après ses analyses, Lineaje estime qu'environ 56 % des vulnérabilités de l'écosystème open-source ne sont pas corrigées. Souvent, les développeurs introduisent involontairement des composants open-source obsolètes ou abandonnés dans leur pipeline, entraînant une cascade de vulnérabilités. 

La profondeur de Lineaje dans la découverte des dépendances au-delà du niveau du paquet - découverte des dépendances implicites - est cruciale. Grâce à cette capacité, Lineaje peut effectuer des analyses approfondies des composants open source. Pour chaque composant identifié, Lineaje s'appuie sur une vérification des empreintes pour retracer son origine et valider son authenticité, en s'assurant que le composant provient d'un référentiel de bonne réputation et d'un commit ID spécifique. Lineaje examine l'ensemble de la lignée pour détecter d'éventuelles altérations en amont, puis utilise l'attestation basée sur les empreintes pour cartographier les niveaux d'intégrité du logiciel, en évaluant les risques d'altération. Ce processus méticuleux génère une nomenclature logicielle SBOM (Software Bill of Materials) complète et un référentiel de données facilement accessible via les fonctionnalités de requête de Lineaje. Ces requêtes peuvent être transformées en politiques, priorisant les actions, aidées par le module IA de Lineaje, qui aide à planifier la prochaine version, tout en réduisant les vulnérabilités.

Myrror Security repère les anomalies de code

Cette start-up se concentre sur la détection des attaques de la chaîne d'approvisionnement des logiciels. Sa solution effectue une comparaison approfondie entre le code binaire et le code source correspondant, dans le but d'identifier toute anomalie, car idéalement, il ne devrait pas y en avoir dans la version binaire prête à être déployée en production. « Une telle approche aurait pu éviter des incidents comme les attaques SolarWinds et XZ Utils », ont déclaré les représentants de Myrror. Myrror analyse le code source et le compare à la version binaire, en utilisant une nomenclature logicielle générée à partir du code source. Ce processus permet d'identifier les vulnérabilités au sein du SBOM, et donc d'évaluer l'accessibilité des attaques et les menaces potentielles pour la base de code. Même si Myrror reconnait l'importance de l'analyse de composition logicielle (Software Composition Analysis, SCA) et du SBOM, son objectif principal reste la détection et la prévention des codes malveillants et des attaques.

Scribe Security capture les activités liées au code

Plateforme de sécurité pour la chaîne d'approvisionnement des logiciels, Scribe Security s'appuie sur une technologie basée sur l'attestation (SBOM à chaque étape du processus de développement) pour détecter et prévenir les altérations tout en fournissant des preuves signées pour l'assurance de la conformité. Déployé tout au long du cycle de développement logiciel (Software Development Life Cycle, SDLC), Scribe capture des preuves complètes de toutes les activités liées au code. Ces informations sont ensuite synthétisées dans un graphe de connaissance, ce qui permet de mieux comprendre la dynamique du produit, du pipeline et du processus. Les clients peuvent gérer efficacement les risques et la confiance en utilisant les analyses de Scribe, qui permettent une atténuation automatisée des risques dans le cadre du SDLC.

Seal Security adapte les correctifs

Concentré sur la correction des vulnérabilités en open source, cette start-up assure une remédiation des patchs. Cependant, au lieu de demander aux développeurs de rechercher des mises à jour logicielles pour remédier aux vulnérabilités, Seal prend les derniers correctifs de sécurité et les rend rétrocompatibles avec toutes les versions précédemment affectées de la bibliothèque, mettant ces correctifs autonomes à la disposition des développeurs pour qu'ils les utilisent dans le cadre du processus de construction. Cette approche rationalise le processus de correction pour les développeurs et les équipes chargées de la sécurité des applications, car les ingénieurs peuvent désormais remédier automatiquement aux vulnérabilités au cours du processus de construction, ce qui réduit considérablement le temps habituellement consacré à la coordination entre ces équipes.

Tromzo agrège les données sur les vulnérabilités

Cette jeune pousse se concentre sur l'accélération de la remédiation, en intégrant les scanners de sécurité, les scanners de vulnérabilité, les plateformes cloud et les référentiels de code, afin d'établir une source unique de vérité pour toutes les vulnérabilités présentes dans l'entreprise. Parce que Tromzo agrège et met en corrélation toutes ces données, il a connaissance de tous les différents actifs existants - référentiels, dépendances logicielles, SBOM, conteneurs, microservices, etc. Ainsi, lorsque Tromzo examine les vulnérabilités, il peut déduire celles qui présentent le plus de risques (en tenant compte du risque du client, selon qu'il s'agit d'une application critique ou qu'elle contient potentiellement des informations sensibles ou personnellement identifiables), conférant à Tromzo une vision du risque sur l'ensemble de la chaîne d'approvisionnement logicielle. À partir de là, la start-up automatise le triage pour corriger d'abord les vulnérabilités les plus risquées.

s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

Des JO 2024 sous haute surveillance

Des JO 2024 sous haute surveillance

Dans moins de six mois s'ouvriront les Jeux Olympiques et Paralympiques 2024 d'été à Paris dans un contexte international très tendu, bien plus que pour les précédentes éditions....

Les meilleures alternatives à VMware

Les meilleures alternatives à VMware

Beaucoup d'informations et d'annonces sont venues perturber les DSI, les opérateurs IT et les partenaires de VMware depuis son rachat par Broadcom. Pour certains d'entre eux,...

Publicité