Quand la vie est facile pour les développeurs, de bonnes choses arrivent.
Chez GitHub, notre passion est d’aider les équipes à gagner en résilience en matière de sécurité. Et croyez-le ou non, une sécurité robuste est obtenue lorsque les développeurs travaillent moins, pas plus. Pour approfondir cela, je me suis assis avec Niroshan Rajadura, directeur principal des ventes mondiales de sécurité avancée GitHub. Niroshan est dans l’espace de sécurité depuis des décennies et a contribué à faire CodeQL la solution SAST la plus largement adoptée aujourd’hui. Nous avons discuté de l’importance de la sécurité pour les développeurs et de la manière dont GitHub se mobilise pour aider.
Gwen : Pour commencer, quel est selon vous le composant le plus important pour une AppSec efficace ?
Niroshan: Des recherches ont montré que l’intégration de la sécurité dans le flux de travail des développeurs aide les développeurs résoudre les problèmes plus rapidement. Cependant, il ne suffit pas d’intégrer simplement les résultats de sécurité et de vidage dans différentes parties du SDLC. Nous devons comprendre en profondeur le fonctionnement des développeurs et nous demander : quelle est l’expérience idéale ? Comment intégrer la sécurité pour optimiser naturellement les workflows des développeurs ?
Gwen : Quel rôle jouent les développeurs lorsqu’il s’agit de prévenir les vulnérabilités ?
Niroshan: Les développeurs sont au centre de tout. Ils écrivent le code qui introduit les vulnérabilités et ils écrivent le code qui les corrige. Et les développeurs ont le pouvoir d’empêcher l’introduction de vulnérabilités en premier lieu. Par conséquent, toutes nos fonctionnalités de sécurité dans le cycle de vie du développement sont conçues pour les développeurs et pour leur flux de travail spécifique, par opposition au flux de travail des professionnels de la sécurité. Mais nous n’oublions pas non plus les équipes de sécurité. Au lieu de cela, nous les aidons à augmenter leur impact en les connectant au flux de travail des développeurs.
Gwen : Pouvez-vous nous donner quelques exemples de ce que signifie « conçu pour les développeurs » ?
Niroshan: Un bon exemple de cela est la protection push pour l’analyse secrète. Chaque jour, des centaines d’informations d’identification sont divulguées sur GitHub et des jetons d’accès personnels sont accidentellement exposés. Sur les référentiels publics, nous révoquons automatiquement les clés API et informons le propriétaire. Cela offre une bonne expérience de développement, mais une meilleure encore est la protection push, qui n’est actuellement disponible que pour les utilisateurs de GitHub Advanced Security (GHAS). Avec cette fonctionnalité, nous analysons les push avant de les accepter, et s’ils contiennent des secrets, nous les rejetons. Cela aide les clients à prévenir les fuites d’informations d’identification tout en maintenant leur flux de développeurs.
Un autre exemple est la façon dont nous centralisons les résultats dans la demande d’extraction afin que la sécurité se produise comme n’importe quelle autre révision de code. Dans la demande d’extraction, les développeurs peuvent rapidement apporter un correctif ou faire tourner un espace de code en temps réel pour revenir dans le code. Ils peuvent également collaborer avec leur équipe et obtenir tout le contexte dont ils ont besoin pour corriger les vulnérabilités en quelques secondes. Les équipes utilisant GHAS peuvent désormais afficher leurs résultats d’analyse de code directement dans Codespaces ou dans leur IDE VS Code local également.
Enfin, nous facilitons la visualisation de toutes nos fonctionnalités de sécurité avec l’aperçu de la sécurité GitHub. Il fournit un résumé de haut niveau de l’état de sécurité d’une organisation afin qu’il soit simple d’identifier les référentiels qui nécessitent une intervention, ce qui aide à étendre l’impact de l’équipe de sécurité.
Gwen : Pour réussir, les entreprises doivent innover rapidement. Comment la sécurité optimisée aide-t-elle leurs efforts d’innovation ?
Niroshan: L’innovation dépend de la sécurisation de votre code d’une manière qui augmente la vitesse du développeur. Lorsque les tentatives de sécurité ne donnent pas la priorité aux développeurs, les processus sont ralentis. Les développeurs sont confrontés à des niveaux de bruit élevés, à des problèmes de tests ratés et à des impacts sur les performances du système. Cela crée de la frustration et fait perdre du temps. Mais une sécurité optimisée permet aux développeurs de résoudre rapidement les problèmes, ce qui permet aux organisations de livrer en continu.
Nous devons comprendre en profondeur le fonctionnement des développeurs et nous demander : quelle est l’expérience idéale ? Comment intégrer la sécurité pour optimiser naturellement les workflows des développeurs ?
Gwen : Quels sont les défis d’AppSec aujourd’hui ?
Niroshan: À l’origine, AppSec était conçu comme une activité spécialisée. Il n’a pas été pensé comme un processus qui devrait être optimisé pour les développeurs. Quand j’étais développeur il y a 20 ans, les gens apportaient des modifications à un morceau de code et les poussaient dans le référentiel, et la construction se cassait. Les gens ont dit que nous devrions avoir un processus plus convivial pour les développeurs. Et c’est ainsi que DevOps est né. Désormais, grâce aux fonctionnalités de DevOps centrées sur le développeur, nous n’avons plus à nous soucier de la rupture de la version.
Mais AppSec n’est jamais arrivé aussi loin. La sécurité est continuellement brisée car elle n’est pas conçue pour les développeurs. L’avenir d’AppSec est DevSecOps, où les fonctionnalités de sécurité renforcent les développeurs, tout comme DevOps.
Gwen : Comment GitHub aide-t-il les développeurs à construire un meilleur avenir AppSec ?
Niroshan: En tant que maison de 94 millions de développeurs, nous sommes responsables de nourrir les développeurs à chaque étape de leur parcours. Qu’il s’agisse d’enseigner aux étudiants comment coder, de répondre aux besoins des startups décousues ou de fournir l’infrastructure complexe requise pour les Fortune 500, nous sommes dédiés à tout le monde.
En tant que tel, nous disposons d’une quantité massive de renseignements de sécurité provenant de la foule. Les développeurs, les chercheurs en sécurité et les universitaires du monde entier contribuent à approfondir la compréhension et la sensibilisation de la communauté. Cela permet aux développeurs d’avoir toujours les dernières informations de sécurité à portée de main. Et cela montre. En 2022, les développeurs ont mis à jour 50% de colis vulnérables en plus qu’en 2021, aidant à sécuriser 18 millions de projets sur GitHub. La communauté, associée à notre engagement à maximiser la rapidité et la facilité des développeurs, fait de GitHub la solution de sécurité optimale.
Pour plus d’informations sur la façon dont GitHub peut vous aider à sécuriser votre code rapidement et facilement, téléchargez notre livre électronique sur la sécurité.
