Veracode, chef de file mondial des solutions de tests de sécurité des applications (AST), présente Continuous Software Security Platform, une solution qui intègre la sécurité des applications au cycle de vie du développement logiciel. La plateforme rationalise les flux de travail en rassemblant les équipes de développement et de sécurité afin de fournir une compréhension approfondie des risques, de l’orientation de restauration, et de la progression à chaque étape du processus de développement.
Ce communiqué de presse contient des éléments multimédias. Voir le communiqué complet ici : https://www.businesswire.com/news/home/20220504005672/fr/
Fig. 1 The Veracode Continuous Software Security Platform (Graphic: Business Wire)
Selon la dernière étude de Veracode, la cadence moyenne des scans a été multipliée par 20 au cours de la décennie écoulée, la plupart des applications étant aujourd’hui testées trois fois par semaine, contre trois fois par an il y a dix ans. L’étude montre également une augmentation de 31 pour cent des organisations ayant utilisé de multiples types de scans au cours des trois dernières années seulement.
Les plus grandes organisations reconnaissent aujourd’hui la nécessité d’utiliser de multiples méthodes pour évaluer leurs logiciels et le font à toutes les étapes du cycle de développement. Gartner® prédit que « d’ici 2025, 70% des organisations fixeront à trois maximum le nombre de fournisseurs responsables de la sécurisation du cycle de vie des applications natives du cloud ».¹ Cette prévision suggère que les entreprises sont déjà à la recherche d’une plateforme exhaustive fournissant une gestion de politique flexible, une évaluation holistique des risques logiciels, et une orientation de restauration intégrée, tout en simplifiant la complexité liée à la gestion de multiples solutions.
Omniprésent mais pas envahissant pour les développeurs
Dans un contexte de pression accrue pour construire et déployer des logiciels à un rythme sans précédent, les équipes de développement ont besoin que les contrôles de sécurité soient parfaitement intégrés aux outils qu’elles utilisent de manière à trouver et corriger rapidement les vulnérabilités. En parallèle, les équipes de sécurité doivent satisfaire aux normes de conformité de plus en plus strictes définies par leurs conseils d’administration et les organes de réglementation. Continuous Software Security Platform de Veracode est omniprésente, sans être envahissante, car elle fournit une expérience fluide pour les développeurs en intégrant directement l’analyse des vulnérabilités et l’orientation de restauration à l’environnement de développement.
Brian Roche, directeur des produits chez Veracode: « D’autres fournisseurs de notre écosystème proposent des solutions incomplètes ou décousues qui manquent de capacités adaptées en termes de reporting et d’analyse, contraignant ainsi leurs clients à jouer au chat et à la souris avec différents outils. Nous avons fait mûrir notre plateforme pour créer une expérience fluide et intégrée pour les développeurs, et pour fournir aux équipes de sécurité un aperçu intégral de l’état de sécurité logicielle, depuis la conception jusqu’au développement et au déploiement. Nous considérons le résultat comme une victoire, aussi bien pour les équipes de développement que de sécurité, qui débouchera sur la création de logiciels plus sécurisés. »
Continuous Software Security Platform de Veracode
Continuous Software Security Platform de Veracode permet aux utilisateurs de définir et gérer la politique de sécurité, d’avoir un aperçu complet de la sécurité logicielle sur l’ensemble de leur gamme d’applications, et de tirer parti d’analyses enrichies afin de prendre des décisions éclairées, partager des indicateurs, exécuter la stratégie, et répondre aux exigences réglementaires. En s’appuyant sur près de deux décennies de données, la plateforme permet aux organisations de détecter, prédire, gérer et atténuer les risques de sécurité. Ces capacités intelligentes permettent aux entreprises de fournir un code sécurisé, avec la rapidité et l’échelle qui sont aujourd’hui attendues.
Continuous Software Security de Veracode est dotée de plusieurs capacités innovantes.
- Reporting regroupé sur un tableau de bord unique: les équipes de sécurité ont désormais accès à un reporting unifié directement depuis le portail pour l'analyse statique, l'analyse dynamique, l'analyse de composition logicielle, et les tests manuels de pénétration. Les administrateurs et les développeurs disposent maintenant d'une vue consolidée des risques de sécurité, ainsi que de commandes ajustables et de rapports renforcés de gestion des licences afin de répondre rapidement aux problèmes.
- Évaluation par les pairs en libre-service: avec des données exhaustives et des perspectives anonymisées pour l'intégralité des utilisateurs de la plateforme, les clients disposent dorénavant d'un accès direct aux rapports sur le portail, leur permettant ainsi de comparer aisément leurs résultats de programme DevSecOps par rapport aux autres acteurs du secteur. En puisant dans de nombreuses années de données et d'apprentissage, les clients peuvent suivre l'évolution des indicateurs du programme et élaborer des plans pour faire face aux risques.
- Nomenclature logicielle (SBOM): les équipes de sécurité peuvent dorénavant générer et exporter des SBOM à la demande avec l'API REpresentational State Transfer (REST) intégrée. Cette méthode renvoie les données pour une application spécifique en format CycloneDX SBOM, une norme conçue pour une utilisation dans des contextes de sécurité des applications et d'analyse des composants de la chaîne d'approvisionnement. En outre, les données de l'API peuvent être minées et transformées en dehors de la plateforme Veracode.
- Restauration intelligente: la Continuous Software Security Platform s'appuiera sur la technologie acquise auprès de Jaroona pour détecter et corriger les vulnérabilités logicielles grâce à l'apprentissage machine. Reconnu par Gartner Research en tant que "Cool Vendor" en 2021, Jaroona surpasse de 7 à 10 fois les approches traditionnelles en termes de taux de précision, de faux négatifs et de faux positifs, et réduit la charge pesant sur les ressources techniques.
Tabrez Naqvi, directeur de la sécurité des informations et des risques chez Cox Automotive: "La sécurité de nos produits et services est très importante pour nous, et Veracode nous aide à garantir que nous ne perdrons jamais la confiance de nos clients."
Pour de plus amples renseignements à propos de Continuous Software Security Platform de Veracode, rendez-vous sur https://www.veracode.com/platform.
¹Gartner, Inc. "Predicts 2022: Consolidated Security Platforms Are the Future" par Charlie Winckless, Joerg Fritsch, Peter Firstbrook, Neil MacDonald, Brian Lowans, 1er décembre 2021
GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou ses filiales aux États-Unis et à l'international, utilisée avec autorisation. Tous droits réservés.
À propos de Veracode
Veracode est un partenaire AppSec de référence pour la conception de logiciels sécurisés, la réduction des risques de violation de la sécurité et l'augmentation de la productivité des équipes de sécurité et de développement. Ainsi, les entreprises qui ont recours à Veracode sont en mesure de faire progresser leur activité et le monde. En combinant l'automatisation des processus, les intégrations, la vitesse et la réactivité, Veracode offre aux entreprises des résultats précis et fiables qui leur permettent de concentrer leurs efforts sur la correction, et pas seulement sur la recherche, des éventuelles vulnérabilités.
Plus d'informations sur www.veracode.com, sur le blog Veracode et sur Twitter.
Copyright © 2022 Veracode, Inc. Tous droits réservés. Veracode est une marque déposée de Veracode, Inc. aux États-Unis et peut être enregistré dans d'autres juridictions. Tous les autres noms de produits, marques et logos appartiennent à leurs propriétaires respectifs. Toutes les autres marques commerciales citées dans ce communiqué sont la propriété de leurs détenteurs respectifs.
Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.
Consultez la version source sur businesswire.com : https://www.businesswire.com/news/home/20220504005672/fr/
