Exploration de la validation de sécurité continue
Aujourd’hui, les développeurs n’hésitent pas à utiliser les composants disponibles dans les sources de package public (telles que npm ou NuGet).
Avec une livraison plus rapide et une meilleure productivité, les composants OSS (Open Source Software) sont encouragés dans de nombreuses organisations.
Toutefois, étant donné que la dépendance envers ces composants d’OSS tiers augmente, le risque de failles de sécurité ou de spécifications de licence cachée augmente également les problèmes de conformité.
Pour une entreprise, c’est essentiel, car des problèmes liés à la conformité, aux responsabilités et aux données à caractère personnel des clients peuvent occasionner de nombreux soucis de confidentialité et de sécurité.
Le fait d’identifier précocement ces problèmes dans le cycle de publication vous en informe suffisamment tôt pour les résoudre. Notamment, le coût de la rectification des problèmes est d’autant plus faible qu’ils sont détectée tôt.
De nombreux outils peuvent rechercher ces vulnérabilités dans les pipelines de build et de mise en production.
Une fois la fusion terminée, le build CI doit être exécuté dans le cadre du processus de demande de tirage (PR-CI).
En règle générale, la principale différence entre les deux exécutions est que le processus PR-CI n’a pas besoin d’effectuer un empaquetage/une mise en lot dans le build CI.
Ces builds CI doivent exécuter des tests d’analyse du code statique pour s’assurer que le code respecte toutes les règles de maintenance et de sécurité.
Plusieurs outils peuvent être utilisés pour cela :
- SonarQube.
- Analyse Visual Studio Code et Analyseurs de sécurité Roslyn.
- Checkmarx - Outil de test de sécurité d’application statique (SAST).
- BinSkim - Outil d’analyse statique binaire qui fournit des résultats sur la sécurité et sur sa bonne utilisation dans les exécutables portables Windows et plus encore.
La plupart des outils s’intègrent de façon fluide au processus de build d’Azure Pipelines. Accédez au Visual Studio Marketplace pour plus d’informations sur les fonctionnalités d’intégration de ces outils.
De plus, pour vérifier la qualité du code à l’aide de la build CI, deux autres validations fastidieuses ou ignorées analysent les paquets tiers pour rechercher des vulnérabilités et l’utilisation de licences OSS.
Lorsque nous posons des questions sur les vulnérabilités et les licences de packages tiers, la réponse est la peur ou l’incertitude.
Les organisations qui essaient de gérer les vulnérabilités ou les licences OSS des paquets tiers expliquent que leur processus est fastidieux et manuel.
Heureusement, quelques outils de Mend Software peuvent rendre ce processus d’identification presque instantané.
Dans un module ultérieur, nous aborderons l’intégration de plusieurs outils de sécurité et de conformité utiles et couramment utilisés.