GrammaTech se concentre sur l’intégration DevSecOps pour son outil d’analyse statique de code

Grammatech CodeSonar 6.0

Avec la version 6.0 de son outil d’analyse statique CodeSonar, l’américain GrammaTech (distribué en France par ISIT) a l’ambition de faire évoluer les industriels en les incitant à automatiser les tests d’analyse statique de leur code et à les intégrer directement dans leur flot de développement CI/CD ...(Continuous Integration/Continuous Deployment). L’idée directrice est que la vérification, notamment vis-à-vis des vulnérabilités des logiciels en cours de développement en termes de cybersécurité, puisse être effectuée au plus tôt dans le cycle de développement, tout en permettant qu’elle soit assurée aussi jusqu’aux phases de déploiement et de maintien en conditions opérationnelles (MCO).

Dans cette optique, CodeSonar 6.0 est nativement compatible avec des outils d’intégration continue tel que Jenkins (logiciel open source d’intégration continue développé en Java) ou encore des plates-formes telles que GitLab. Cet outil d’analyse de code peut ainsi être intégré directement dans le pipeline CI de GitLab, c’est-à-dire dans la série d’étapes automatisées à réaliser en vue de distribuer une nouvelle version d'un logiciel (compilation, test, déploiement…), tandis que les résultats sont accessibles dans les requêtes GitLab Merge ainsi que dans le tableau de bord de sécurité de GitLab.

En d’autres termes, GrammaTech souhaite inscrire sa plateforme SAST (Static Application Security Testing) dans une approche DevOps/DevSecOps, avec la mise en place de méthodes agiles pour détecter les erreurs fonctionnelles pouvant nuire à la sûreté de fonctionnement d’un équipement, ainsi que les failles de cybersécurité.

L'autre objectif affiché de la version 6.0 de CodeSonar est, selon GrammaTech, d’offrir une plate-forme d’analyse statique unique, utilisable aussi bien par les équipes logicielles responsables des développements d’applications embarquées critiques en langages C et C++ que par les équipes de développement Java, C# et Python. Jusqu’à présent accessible à travers deux outils distincts, CodeSonar 6.0 réunit désormais dans un seul framework les moteurs d’analyse statique pour tous les langages pris en charge par GrammaTech, avec à la clé des résultats accessibles de manière unifiée dans le hub CodeSonar, autorisant l’analyse de projets mixant différentes technologies et langages de programmation.

Enfin signalons que CodeSonar 6.0 intègre des évolutions et des améliorations sur les vérificateurs déjà existants pour le langage C++ 20, Android 11 et Java 14, et assure la connexion avec Jira, système de suivi de bogues logiciels, de gestion des incidents et de gestion de projets développé par l’éditeur australien Atlassian.