GrammaTech pousse le standard Sarif pour interconnecter outils d’analyse et environnements de développement

Grammatech Sarif

L’éditeur américain d’outils d’analyse de code GrammaTech (distribué en France par ISIT) est un contributeur actif au format ouvert Sarif (Static Analysis Results Interchange Format), géré par le consortium industriel Oasis. ...La société a décidé de mettre à disposition des développeurs un outil permettant de prendre en charge l'intégration, via Sarif, des résultats d'analyse statique déposés sur GitHub. Issue de travaux financés par le DHS (Département américain de la Sécurité intérieure) à travers le programme Stamp (Statical Analysis Tools Modernization Project), cette approche vise à permettre aux outils d'analyse statique en open source, comme par exemple Clang Static Analyzer ou Pylint, de générer et de consommer des résultats conformément à ce standard.

Actuellement, souligne GrammaTech, les outils d'analyse statique commerciaux et open source utilisent des formats propriétaires pour afficher et stocker leurs résultats. Cette manière de faire rend difficile l'intégration des résultats d'un outil d'analyse statique dans un environnement de développement intégré (IDE), un outil de révision de code ou encore une plate-forme de gestion et de contrôle de versions de code source telle que GitHub. En s’appuyant sur le standard Sarif, l’ambition de GrammaTech est ici de faciliter la collaboration entre les différents outils d’analyse statique dans un environnement de développement logiciel unifié.

L’adoption à grande échelle du format Sarif pourrait dans ce cadre permettre aux équipes de développement logiciel de choisir les outils les plus adaptés à leurs besoins et de les intégrer facilement dans leur environnement au sein d’une démarche agile de type DevOps.

Afin de soutenir davantage l'écosystème Sarif, GrammaTech a également publié un outil disponible en tant que logiciel open source qui permet aux développeurs d'afficher les résultats de l'analyse statique comme partie intégrante de leur flux de travail de révision de code et de leurs requêtes “pull” GitHub. Une approche qui facilite, selon la société, l'adoption de l'analyse statique, contribuant ainsi à l’amélioration de la qualité et de la sécurité d’un code.

« GrammaTech croit fermement à l’intégration et la collaboration inter-outils grâce à l’utilisation de standards ouverts, précise Vince Arneja, responsable produits chez GrammaTech. CodeSonar, notre solution d’analyse statique, importe et exporte déjà les résultats au format Sarif et, grâce à cela, peut s’intégrer simplement avec les IDE de Microsoft, GitHub, Clang Static Analyzer, Pylint, ESlint et bien d'autres outils qui prennent en charge ce standard. »

Initiée en 2017 via un groupe de travail du consortium Oasis qui promeut des solutions ouvertes en open source dans le développement logiciel, la norme d'interopérabilité Sarif s’est donné pour objectif général de permettre aux développeurs logiciels d'évaluer plus facilement la qualité et la sécurité de leurs programmes en agrégeant les données issues de plusieurs outils. Le comité technique Sarif d’Oasis (*) rassemble pour ce faire des sociétés du domaine du logiciel, des fournisseurs d’outils de cybersécurité, des gouvernements, des spécialistes de l'orchestration de la sécurité, des programmeurs et des consultants pour convenir d'un format de données qui soit analysable par les outils de l'industrie.

(*) CA Technologies, Cryptsoft, FireEye, GrammaTech, Hewlett Packard Enterprise (HPE), Micro Focus, Microsoft, New Context, Phantom, RIPS, SWAMP, Synopsys, le DHS, le NIST, etc.