Secure Code Warrior présente une technologie pour aider les CISOs⁢ et ⁤les équipes AppSec à garantir la sécurité de ‍leurs projets face aux erreurs de codage et aux vulnérabilités – un enjeu majeur‌ après l’incident CrowdStrike

Les responsables de la sécurité ⁢et les ‌développeurs de logiciels bénéficieront d’une meilleure⁣ visibilité sur la posture de sécurité du‌ développement logiciel au⁢ sein de leurs ⁣organisations, grâce à une solution innovante de Secure Code Warrior (SCW), ⁣un spécialiste du secteur. Cette⁣ avancée vise à atteindre l’idéal du ​code sécurisé dès sa conception.

Le ‍SCW ⁢Trust​ Agent fait suite à ⁤l’introduction du‍ SCW Trust Score, une référence ​sectorielle qui ​évalue pour la première fois la compétence en matière⁢ de sécurité des développeurs au sein des entreprises.​ En utilisant un ​ensemble de données comprenant ⁣des​ millions⁤ de‍ points d’apprentissage ⁤collectés auprès de centaines de milliers de développeurs, cet outil⁢ aide les utilisateurs à déterminer si le code soumis dans des dépôts Git publics est prêt à être utilisé ou s’il présente des risques potentiels.

« Chez Secure Code Warrior, nous offrons aux CISOs ‍une⁤ solution facile à déployer pour évaluer la santé des commits de code et obtenir ⁤une ⁢visibilité sur les centaines de⁤ dépôts de ‌code source de leur organisation », a déclaré Pieter‌ Danhieux, co-fondateur et PDG ‍de l’entreprise.⁢ « Nos⁣ innovations permettent aux organisations de ⁤mieux combler le fossé entre les compétences des ​développeurs et la qualité du code produit, sans compromettre ⁣la vitesse ⁤de développement. »

Le Trust Agent est compatible avec tous⁤ les dépôts basés sur Git, y compris ‍GitHub,​ GitLab ⁣et ‌Atlassian Bitbucket. Il analyse le code soumis pour⁢ vérifier si ⁢l’utilisateur a les compétences en matière ​de codage⁤ sécurisé requises pour le langage de programmation⁣ utilisé dans ce‍ commit, et utilise ces informations pour évaluer la⁣ santé du commit. Ces évaluations peuvent ensuite être agrégées à​ travers d’autres dépôts.

SCW estime que le ⁢Trust Agent offrira un‍ meilleur contrôle et⁢ une plus ​grande flexibilité en ⁣matière de gestion des développeurs. Par exemple, il⁢ permettra ‍aux administrateurs⁢ de définir des politiques et des critères pour s’assurer que les développeurs⁣ répondent ​à un ensemble​ de normes‍ minimales avant de ⁤commencer leur travail. En cas‍ de lacunes de compétences identifiées, ⁢la ​plateforme d’apprentissage ‌agile de l’entreprise pourra être mise en œuvre.

Dans l’ensemble, cette solution devrait ​améliorer les contrôles ⁢de sécurité, avec des configurations de politiques personnalisables en fonction des ⁤besoins spécifiques du projet ;⁢ une ‌visibilité ⁤complète, y compris des ⁣informations exploitables sur⁢ la posture de sécurité⁢ des commits‌ de code ⁢; et une‍ sécurité pilotée par les développeurs à grande échelle, permettant de ⁢livrer des projets plus rapidement et en toute sécurité, tout en libérant les équipes de sécurité des applications pour ‍se‌ concentrer sur les examens les plus sensibles.

Incidents liés à ⁣CrowdStrike

Bien ⁢que SCW n’ait pas affirmé que ses⁣ solutions auraient pu éviter⁤ le désastre causé par une mise à jour défectueuse de CrowdStrike, qui a temporairement​ paralysé des millions de machines ‌Windows, le lancement ⁢de cette technologie ⁢intervient à ​un moment où l’intégrité du développement​ logiciel est au cœur ⁤des préoccupations.

Le problème à l’origine de ⁤cet ⁢incident a été‌ identifié comme⁢ une ​vulnérabilité de ⁢sécurité relativement courante ​dans le‍ logiciel C++, connue sous⁤ le nom de dereferencement nul dans la mémoire du noyau. Danhieux a‍ réitéré les appels récents des autorités de sécurité, telles⁢ que la CISA aux États-Unis, exhortant les développeurs à abandonner les langages non sécurisés en mémoire pour éviter ‍de telles vulnérabilités.

Sur la plateforme ​LinkedIn, il a souligné que cela ‌aurait ‌été un défi ‍pour CrowdStrike, car la plupart des ​codes au⁤ niveau⁣ du noyau ​sont écrits en C++. Les éléments​ qui doivent ⁢accéder à la mémoire du noyau, comme la détection et la réponse aux menaces (EDR) dans le cas de ⁣CrowdStrike, devront continuer à utiliser ce langage dans un⁤ avenir prévisible.

Selon Danhieux, les erreurs de dereferencement nul peuvent‍ survenir ⁢dans​ de⁣ nombreuses situations et sont « des erreurs relativement innocentes ⁤et⁢ faciles‍ à commettre ». Cependant, il a ​ajouté que les organisations⁢ devraient prendre des ‌mesures pour les éviter dans‌ leurs projets. « Une fois qu’un attaquant les découvre,‍ elles peuvent​ être ⁤utilisées ⁢dans une attaque par déni de ⁣service ou simplement provoquer⁣ un plantage‌ de l’application ou du⁣ système d’exploitation entier », a-t-il expliqué.

« SCW propose des directives de ‍codage spécifiques aux langages, des vidéos de ​micro-apprentissage et de nombreux défis ⁤pratiques de ​codage en C/C++ autour‍ du dereferencement nul », a ajouté ‌Danhieux.

En savoir plus sur la sécurité des applications ⁢et les ‌exigences en matière de codage

  • Pourquoi la mise ‍à jour ⁣de CrowdStrike a-t-elle ​causé l’écran bleu de Windows ?
  • NCSC : Méfiez-vous ‍des opportunistes criminels liés à CrowdStrike
  • Utiliser ChatGPT‍ comme outil SAST pour détecter les erreurs de⁣ codage
  • Norme de ‌codage sécurisé pour élever les ⁢standards parmi les développeurs
Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *