La sécurisation des référentiels de code source est devenue un élément important pour les démarches DevOps. C'est dans ce cadre qu'Opsera éditeur d'une plateforme d'orchestration vient de dévoiler GitCustodian. Il détecte et signale les données vulnérables dans les dépôts de code, notamment Gitlab, Github et Bitbucket. Le service analyse les dépôts de code pour y rechercher des données vulnérables et alerte les équipes de sécurité et DevOps pour qu'elles empêchent l’introduction de ces vulnérabilités en production, protégeant ainsi les pipelines CI/CD de développement. « Une fois les vulnérabilités détectées, la solution automatise le processus de remédiation pour tous les secrets ou autres artefacts sensibles découverts », a expliqué Opsera. L’offre arrive à un moment où les fuites de données dans les dépôts de code source font l'objet d'une forte sensibilisation. En avril, GitHub a révélé que des attaquants avaient utilisé des jetons d'autorisation volés pour télécharger des données privées stockées sur la plateforme.

Une « visibilité proactive »

Selon Opsera, beaucoup de développeurs de logiciels conservent sans le savoir des données sensibles, que ce soit des mots de passe, des certificats, des clés, dans les référentiels de code. Or, ils pourraient être compromis par des cyberattaquants s'ils se retrouvaient en production. « GitCustodian fournit une visibilité proactive des données vulnérables dans les référentiels de code source et aider les équipes de sécurité et DevOps à les traiter dès le début du processus CI/CD », a expliqué le fournisseur. Les équipes reçoivent un snapshot centralisé de tous les secrets vulnérables et autres artefacts sensibles à risque à travers les systèmes de contrôle de version.

Selon Opsera, les principales caractéristiques et avantages de GitCustodian sont :

- La détection des secrets basée sur de multiples algorithmes et des profils standards de l'industrie.

- Une analyse du référentiel de code source.

- La possibilité d'ajouter une gouvernance proactive des secrets aux flux de travail CI/CD existants.

- Un stockage sécurisé des secrets et des clés via un coffre-fort intégré.

- Une possibilité de collaboration et de notification des équipes concernées.

- Des informations et des analyses avec des aperçus exploitables et des rapports de conformité.

Comme l’a expliqué Kumar Chivukula, cofondateur et directeur technique d'Opsera, GitCustodian a trois fonctions principales. « D’abord, il scrute la gestion du code source (Source Code Management, SCM) de l’entreprise pour trouver et surveiller les secrets dans un tableau de bord qui suit les contrevenants et met en évidence l’origine du problème. Ensuite, il peut scanner le pipeline Opsera, ou un pipeline existant, pour y rechercher des secrets avant que la progression du pipeline ne se poursuive. La plupart des entreprises ont besoin d'une option pour attraper les secrets avant qu'ils ne soient déployés en production ou dans un environnement client. Enfin, en cas d’exposition d’un secret, il est encore possible ajouter des secrets dans le coffre-fort intégré de GitCustodian, si bien que l’utilisateur peut ajouter directement des secrets dans un coffre-fort sous forme de paramètre et de ne pas les divulguer en texte clair ». GitCustodian est disponible dès maintenant pour les clients existants et les nouveaux clients, avec une tarification basée sur le nombre de dépôts et le nombre d'utilisateurs.

Sécuriser le code source

Tous les analystes du secteur de l'IT sont d’accord pour reconnaître les risques de sécurité et les complexités entourant le code source, mais aussi la nécessité pour les entreprises modernes de mettre en œuvre des stratégies efficaces pour détecter et gérer les vulnérabilités du code source. « Toutes les vulnérabilités logicielles trouvent leur origine dans le code source et c’est à partir de là qu’elles se frayent un chemin dans le monde », a expliqué Fernando Montenegro, analyste principal senior chez Omdia. « L’introduction d’un code vulnérable en production peut déboucher sur un simple déni de service, donner lieu à une véritable violation de données, et à toutes les autres incidents intermédiaires. Dès qu'un logiciel vulnérable est exposé en production, il crée non seulement une autre surface d'attaque pour un cyberattaquant potentiel, mais ajoute à la « dette technique » que les entreprises accumulent au fil du temps. Les conséquences peuvent être importantes pour les sociétés, comme des divulgations publiques, mais aussi des manquements réglementaires sanctionnés par des amendes », a-t-il ajouté.

« Tout responsable de la sécurité devrait inscrire la suppression des vulnérabilités en haut de sa liste des priorités, pour éviter qu’elles ne se répandent en production », a encore déclaré M. Montenegro. Un avis que partage Janet Worthington, analyste principale chez Forrester. « Pour s'assurer que le code déployé en production est sécurisé, les entreprises doivent utiliser des outils d'analyse capables de trouver les failles de sécurité dans le code source et les vulnérabilités connues dans les librairies open source et de tierces parties que les développeurs intègrent dans leurs applications », a-t-elle expliqué. « L'intégration et l'automatisation des outils d'analyse de sécurité dans le cadre d’un pipeline CI/CD permettent aux développeurs d’avoir un feedback alors que le code est encore frais dans leur esprit ». Selon Rik Turner, analyste principal d'Omdia, ces précautions ont pris encore plus d’importance depuis la pandémie de COVID-19 et l’accélération massive de la transformation numérique. « Le rythme auquel les équipes de développement poussent le code en production s'est accéléré et cela va continuer », a-t-il encore déclaré. « L'un des fondements du processus de développement agile étant la réutilisation des composants, inaugurée par la révolution de l'architecture orientée services, de plus en plus de composants open source pré-écrits et librement disponibles sont inclus dans les applications, de sorte que, s'ils présentent des vulnérabilités, ils sont directement intégrés aux applications », a ajouté l’analyste d’Omdia.