Les entreprises développent de plus en plus de logiciels pour créer de nouveaux services ou pour les intégrer dans de nouveaux équipements. Les usines à logiciels de ces entreprises utilisent beaucoup de bibliothèques open source souvent à l'origine de failles de sécurité. SourceClear, un spécialiste de la composition logicielle lutte contre ce fléau silencieux.
Les bibliothèques open source présentent de nombreux avantages. Elles économisent du temps aux développeurs, réduisent les délais de mise sur le marché et l'inefficacité due à la réécriture du code pour les fonctionnalités déjà construites. Cependant avec l’augmentation constante des failles de sécurité, une attention particulière doit être portée sur les bibliothèques open source.
Une récente étude sur l’analyse des applications Java a permis d’observer que 88% d'entre elles présentaient au moins une vulnérabilité de ses composants, notamment open source. En 2017, c’est la vulnérabilité d’un composant open source au sein d’un serveur web d'Equifax qui a exposé les données financières de 143 millions d'Américains. Une faille qui a coûté plusieurs centaines de millions de dollars à Equifax.
Le spécialiste de la composition logicielle
Pour résoudre ce problème et minimiser le risque dans l’utilisation de ces bibliothèques, CA Technologies met la main sur SourceClear, une start-up de San Francisco proposant un outil d'analyse de composition logicielle en mode SaaS, qui s'appuie sur une base de données de vulnérabilités propriétaire allant bien au-delà de la NVD (National Vulnerability Database) et d'une technologie d’évaluation des vulnérabilités qui augmente la capacité d'action des solutions de SCA (Software Composition Analysis).
La solution de l’éditeur indique quels sont les composants vulnérables et si la fonction est utilisée ou non. Cela réduit considérablement les faux positifs liés aux fonctions qui existent dans une bibliothèque open source mais qui ne présentent aucun risque pratique car elles ne sont pas utilisées par l'application. Le problème peut devenir grave. Selon une estimation, ce seront plus de 500 millions de bibliothèques qui seront disponibles dans 10 ans.
Aucun détail n’a été fourni sur la transaction. Seul élément notable, l’annonce par CA Technologies de l’intégration des fonctions de SourceClear dans Veracode, l’outil de test de sécurité de CA Technologies lui aussi issu d’une acquisition.