Le DevSecOps devient une expérience intégrée en rendant les outils AppSec accessibles dans une interface familière
Veracode, le plus grand fournisseur mondial de solutions de tests de sécurité des applications, a annoncé une nouvelle action GitHub visant à fournir aux développeurs un moyen simple et efficace de s’assurer que le code puisse être sécurisé dès sa conception. Cette nouveauté permet aux développeurs d’effectuer des scans statiques du code dans leurs Pipeline et aussi d’importer les résultats des analyses, le tout dans l’interface utilisateur de GitHub.
Les actions GitHub CI/CD aident les développeurs à améliorer le délai d’introduction sur le marché en leur permettant de créer, de tester et de déployer du code directement depuis GitHub. Les développeurs peuvent invoquer les analyses statiques de Veracode (SAST) à partir des actions GitHub, ce qui élargit considérablement les capacités de test de sécurité pour les développeurs qui utilisent les flux de travail de GitHub, et leur permet d’intégrer la sécurité directement dans leurs processus DevOps et ainsi faire évoluer le développement au sein de l’équipe.
« Veracode comprend l’importance du ‘Shift Left’ dans le cycle de développement pour permettre aux équipes de trouver et de corriger les défauts à grande échelle, explique John Leon, vice-président du développement commercial chez GitHub. Le développement de logiciels s’opérant à une vitesse fulgurante, cette nouvelle action GitHub permet à nos clients communs de développer des logiciels sécurisés, sans compromettre la vitesse ou la qualité, le tout dans une interface familière ».
La solution d’analyse statique de Veracode contribue au processus DevSecOps en donnant aux développeurs un feedback rapide, automatisé et actionnable sur la sécurité du code, directement dans leurs pipelines, lorsque le code est compilé ou après chaque opération check-in du code, ainsi que d’effectuer une analyse complète á base des politiques de sécurités avant le déploiement du code. Grâce à la nouvelle action GitHub, les développeurs peuvent contrôler les scans Veracode lorsqu’ils conçoivent du code au sein d’un environnement GitHub et obtenir des propositions de remédiation clairs sur la manière de résoudre les problèmes détectés. Les résultats de ces scans sont convertis en alertes de scan de code dans GitHub. Lorsque le code est prêt à être déployé, les développeurs peuvent ainsi effectuer le Veracode Policy Scan pour une évaluation complète du code, avec une piste d’audit pour la conformité qui peut être prévisualisée avant de déclencher les alertes. Les résultats de Veracode sont d’une grande précision et automatiques, grâce à l’intelligence de la plateforme SaaS de Veracode qui a scanné plus de 21 trillions de lignes de code à ce jour.
« Un développement sécurisé à grande échelle n’est possible que si les développeurs s’assurent que le code qu’ils écrivent est sécurisé dès le départ, indique Ian McLeod, chef de produit chez Veracode. Il est donc essentiel que nous fournissions des outils et des intégrations qui simplifient le travail du développeur et rendent les capacités disponibles dans les outils qu’il utilise chaque jour. Notre nouvelle action GitHub offre une expérience transparente qui permet aux développeurs de gagner du temps, tout en leur fournissant la garantie que le code qu’ils écrivent est sécurisé ».
Les outils Veracode sont disponibles sous forme de GitHub Actions sur le marché GitHub.