Nouvelles Du Monde

Phylum Automated Vulnerability Reachability renforce la sécurité de la chaîne d’approvisionnement logicielle

Phylum Automated Vulnerability Reachability renforce la sécurité de la chaîne d’approvisionnement logicielle

Phylum a ajouté Automated Vulnerability Reachability aux capacités de sa plate-forme de sécurité de la chaîne d’approvisionnement logicielle.

Avec la possibilité de se concentrer uniquement sur la résolution de ce qui compte, les professionnels de la sécurité peuvent mettre fin au déluge de faux positifs et les développeurs peuvent innover avec plus de rapidité et de confiance.

Cette nouvelle introduction, combinée à la capacité de Phylum à bloquer et hiérarchiser les risques liés au code open source, offre aux organisations la sécurité complète de la chaîne d’approvisionnement logicielle.

Les vulnérabilités représentent un danger clair et actuel pour l’intégrité de la chaîne d’approvisionnement logicielle, mais la quantité massive de bruit et de faux positifs qui accompagnent les méthodes de détection traditionnelles drainent les ressources et laissent les organisations débordées.

« La gestion des vulnérabilités est un défi frustrant et persistant pour les équipes de sécurité depuis plus d’une décennie. Phylum a automatisé la réponse à la question « Est-ce que j’appelle réellement le code déclenchant cette vulnérabilité ? » Répondre à cette question réduit les problèmes de vulnérabilité des faux positifs des clients de 90 % ou plus et permet aux équipes de sécurité d’impliquer leurs équipes de développement dans les problèmes de chaîne d’approvisionnement qui comptent vraiment », a déclaré Pierre Morganco-fondateur et président de Phylum.

Lire aussi  Xiaomi lance le téléphone portable bon marché Redmi A3 avec écran 90 Hz et Android 13 Go au prix de 1 million IDR

La plupart des approches de gestion des vulnérabilités ne tiennent pas compte des nuances des bibliothèques open source. Dans le code de la bibliothèque, les parties de la bibliothèque utilisées sont tout aussi importantes que le nom et la version du package, et ne pas tenir compte de ces données entraîne un taux élevé de faux positifs.

Par exemple, une organisation peut utiliser un package pour signer des packages de build contenant une vulnérabilité Heartbleed connue. Mais comme l’organisation ne l’utilise que pour la signature de code et n’utilise pas la partie d’OpenSSL où cette vulnérabilité existe, elle n’est pas accessible. La Plateforme Phylum reconnaît cette nuance et en informe l’utilisateur en conséquence.

Les organisations qui utilisent Phylum font gagner un temps précieux aux développeurs, apportent des correctifs plus critiques et améliorent la sécurité globale en tirant parti :

  • Analyse approfondie des sources et traçage des appels qui identifient les vulnérabilités qui ont un impact sur les projets et celles qui n’en ont pas.
  • Analyse basée sur des graphiques qui identifie les chemins d’appel inter-packages pour hiérarchiser les bogues les plus percutants qui doivent être corrigés.
  • Application automatisée et continue des politiques qui fournit des alertes si les fonctions de vulnérabilité changent en raison de nouveaux besoins de développement.
Lire aussi  L'Europe approuve le vaccin Hipra, la première injection espagnole contre le covid-19

Étant donné que les projets logiciels sont constitués de 70 à 90 % de code open source, Phylum bloque d’abord les attaques de la chaîne d’approvisionnement logicielle qui tentent de pénétrer dans les environnements à partir de packages open source. Cela allège le fardeau d’avoir à effectuer des corrections importantes une fois le code source créé.

Automated Vulnerability Reachability surveille ensuite en permanence le code dans le cas où des modifications de développement, de package ou d’auteur entraîneraient de nouvelles vulnérabilités.

La plate-forme de sécurité de la chaîne d’approvisionnement logicielle de Phylum est spécialement conçue pour relever les défis persistants et évolutifs en matière de sécurité de la chaîne d’approvisionnement logicielle. Quel que soit le stade de maturité d’un programme appsec, Phylum est conçu pour répondre aux besoins immédiats et évoluer avec une organisation pour répondre aux besoins futurs.

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ADVERTISEMENT