GrammaTech automatise l’identification des vulnérabilités de sécurité cachées dans du code binaire issu de tierces parties

Combler les lacunes de sécurité dans les logiciels préconstruits sans accès au code source, tel est l’objectif de la plate-forme d'analyse de composition de logiciels binaires CodeSentry de l’éditeur américain d’outils de test logiciel GrammaTech. Dans le détail, cette plate-forme logicielle dans sa nouvelle version 4.0 a pour ambition de détecter les vulnérabilités de sécurité contenues dans du code issu de tierces parties en utilisant l’approche BSCA (Binary Software Composition Analysis) afin d’identifier les menaces connues (CVE, Common Vulnerabilities and Exposures) ainsi que la liste des vulnérabilités répertoriées (CWE, Common Weakness Enumeration) (*) au sein de composants logiciels développés en externe.

Selon GrammaTech, alors que l'essentiel de l'attention des développeurs s’est porté sur les vulnérabilités des logiciels open source avec des initiatives comme OpenSSF (Open Source Security Foundation), d’autres problèmes subsistent au niveau du code issu de tierces parties. Selon VDC Research, près de 60% des produits logiciels contiennent du code tiers dont la plupart utilise des composants open source, l’ensemble étant fourni sous forme binaire, avec ici une impossibilité de détecter les risques de sécurité qu'il contient avant de l'utiliser pour développer des applications ou de l'intégrer dans des produits physiques.

Pour détecter les vulnérabilités dans ces codes tiers préconstruits pendant le processus de développement, CodeSentry 4.0 fournit une prise en charge complète des applications, des micrologiciels, des conteneurs et des systèmes d'exploitation intégrés.

« Les équipes de développement de logiciels sont de plus en plus chargées d'assurer l'intégrité de leurs produits en évitant les défauts de sécurité qui peuvent entraîner des pannes ou des rappels de produits coûteux, explique Mike Dager, CEO de GrammaTech. Ce problème de sécurité s’est même intensifié avec la création d'exigences réglementaires pour la chaîne d'approvisionnement en logiciels aux Etats-Unis. Dans ce cadre, CodeSentry 4.0 permet aux équipes de développement de vérifier le contenu, la sécurité et la sûreté des composants logiciels tiers qu'elles utilisent. »

Étant donné que le code source est rarement disponible pour les logiciels tiers, l'analyse binaire est ici une alternative émergente pour extraire une nomenclature logicielle (SBOM, Software Bill Of Material) afin d'identifier les composants, les dépendances et les vulnérabilités de sécurité qu'ils peuvent contenir. Proposé en tant que solution SaaS (Software as a Service) ou sur site, CodeSentry automatise ce processus en fournissant notamment une base destinée à améliorer la sécurité de la chaîne d'approvisionnement logicielle.

Les systèmes d'exploitation Windows, Linux, macOS, Java, Android, iOS, VxWorks, QNX et Android, ainsi que les langages Python, JavaScript et binaires provenant de codes écrits en C/C++, C#, Java et Go sont pris en charge. Et ce pour des applications installées sur des architectures embarquées fondées sur les processeurs x86, Arm32/64, Mips et AVR32.

(*) CWE est une liste des vulnérabilités que l'on peut rencontrer dans les logiciels maintenus par l'organisation américaine à but non lucratif Mitre, soutenue par la National Cyber Security Division et le Département de la Sécurité intérieure des États-Unis