Identifiez les failles et les vulnérabilités dans les binaires de vos logiciels Tiers

03 novembre 2020 //Par A.Dieul
Identifiez les failles et les vulnérabilités dans les binaires de vos logiciels Tiers
GrammaTech, spécialiste dans le domaine des outils test statique de sécurité des applications (SAST – Static Application Security Testing) et distribué en France par ISIT, a dévoilé CodeSentry, sa toute nouvelle solution d’analyse statique. CodeSentry se classe dans la gamme des outils d’Analyse de Composition Logicielle ou Software Composition Analysis (SCA) en anglais, technique permettant de dresser l’inventaire des codes Tierce-partie contenus dans une application.

CodeSentry amène une proposition unique sur le marché des solutionsSCA car cette analyse est réalisée directement sur les binaires, sans nécessité de disposer des sources. Grâce à CodeSentry, il est maintenant possible aux responsables de la sécurité des logiciels d’identifier et de maîtriser les risques liés aux codes tiers et leurs vulnérabilités, enfouis dans leurs applications, et ce, tout au long du cycle de vie de leurs logiciels. Avec CodeSentry, GrammaTech renforce sa position de fournisseur de choix dans les environnements DevSecOps.

« L’utilisation de codes tiers notamment OpenSource pour accélérer la mise sur le marché des produits est une pratique très largement répandue », a déclaré Mike Dager, PDG de GrammaTech. « La plupart des organisations reconnaissent désormais les risques de sécurité que ces codes tiers posent pour leurs applications et leurs activités, ainsi que la nécessité de réaliser des analyses de composition logicielle telle que celle réalisée par CodeSentry, permettant d’inspecter les binaires avec une précision inégalée. »

Ce besoin d'examiner plus minutieusement les codes tiers a été amplifié par des attaques de haut niveau exploitant des vulnérabilités open source. Selon Gartner, « les risques liés à la chaîne d'approvisionnement des logiciels ont attiré une attention accrue. Un nombre croissant d'incidents ont été observés dans lesquels du code malveillant a été intentionnellement introduit par des attaquants cherchant à exploiter la confiance qui existe dans la communauté open-source. »

Étant donné que les logiciels tiers peuvent être fournis sous forme de sources et de binaires, des composants sous-jacents peuvent être inconnus de l'organisation qui les utilise. Ces codes enfouis peuvent être d’origine Open Source, commerciale (COTS) ou sous contrat. CodeSentry peut détecter les composants et les vulnérabilités qui leur sont associés, y compris les composants réseau, les composants GUI ou les couches d'authentification. Il utilise une analyse binaire approfondie pour créer une nomenclature logicielle détaillée (SBOM – Software Bill Of Materials) et une liste complète des vulnérabilités connues.

« Les outils d'analyse SCA de première génération s'appuient sur le code source pour identifier les composants tiers,ce qui les rend bien souvent inutilisables sur les logiciels livrés sous forme binaire », pour Vince Arneja, Directeur Produits de GrammaTech. « La capacité de CodeSentry à analyser les binaires pour en créer une nomenclature logicielle exhaustive élimine cette problématique et permet aux entreprises de réduire de manière proactive leur surface d’attaque. »

Afin de pouvoir réaliser ce niveau d'analyse binaire,


Vous êtes certain ?

Si vous désactivez les cookies, vous ne pouvez plus naviguer sur le site.

Vous allez être rediriger vers Google.