Lacework est depuis toujours convaincu que pour obtenir rapidement les meilleurs résultats en matière de sécurité, il faut disposer d’une visibilité et d’un contexte en continu, notamment savoir où tourne chaque logiciel et pouvoir capturer, et corréler les données tout au long du cycle de vie de l’application. Cette approche permet aux équipes de sécurité d’être plus efficaces et élimine la lourde tâche de rassembler des données et des résultats provenant de différentes sources. Elle aide notamment à consolider les outils qui offrent une plus grande valeur ajoutée.

Présentation de Lacework Software Composition Analysis (SCA) et Static Application Security Testing (SAST)
Lacework lance deux formes d’analyse statique des programmes - l’une (SCA) ciblant le code tiers dans les référentiels clients, et l’autre (SAST) ciblant le code premier.
Les capacités SCA développées par Lacework offrent aux clients une visibilité continue sur les bibliothèques de logiciels tiers et les vulnérabilités associées, y compris les dépendances directes et indirectes. L’approche singulière adoptée par Lacework va au-delà de la fonctionnalité SCA de base et donne aux équipes une visibilité en continu de l’endroit exact où les fonctionnalités vulnérables sont utilisées dans le code, de la fréquence à laquelle elles sont référencées, de la personne responsable de leur introduction et de la personne chargée de la correction du code. Les clients bénéficient d’une "Software Bill of Materials" (SBOM) toujours à jour pour chaque application et d’une visibilité continue sur leur chaîne d’approvisionnement logicielle, ainsi que d’une compréhension des risques liés aux licences open-source.
Pour la première fois, avec la SCA intégrée à la plateforme Lacework, les clients ont une visibilité sur le cycle de vie complet d’un paquet vulnérable, en suivant son utilisation dans le code source jusqu’à son activité au sein de n’importe quelle workload cloud-native. La détection active des vulnérabilités est réalisée à l’aide d’une extension de l’agent d’exécution Lacework connue sous le nom de Code Aware Agent (CAA). Lacework a déjà annoncé la détection active des vulnérabilités (AVD) pour les paquets hôtes, et la société vient d’ajouter la prise en charge de l’AVD pour les conteneurs, ce qui signifie que les clients peuvent désormais identifier l’activité des paquets en cours d’exécution sur de vastes surfaces de workloads cloud.

La combinaison de l’AVD et du SCA illustre l’avantage d’une approche de plateforme pour la sécurité du cloud. Si l’on sait qu’un paquet est actif, on peut donner la priorité à sa mise à jour plutôt qu’à des paquets qui n’ont pas été jugés actifs et qui ne le seront peut-être jamais. Inversement, si un paquet est inactif, il peut être considéré comme un candidat à la suppression, ce qui réduit la surface d’attaque. AVD fournit des informations sur le temps d’exécution et SCA des informations sur le code source qui peuvent conduire à une résolution plus rapide.

Lacework SAST complète SCA pour fournir des capacités complètes de sécurité du code afin d’aider les organisations à comprendre comment le code first-party pourrait être exploité. Lacework SAST examine le code interne et identifie les faiblesses du code source qu’un pirate pourrait exploiter pour contourner les contrôles de sécurité, exécuter des commandes malveillantes ou exfiltrer des données sensibles. À partir de cette analyse, l’outil fournit aux clients un audit automatisé et intuitif du code sécurisé, facilement exploitable par les analystes de sécurité débutants comme confirmés.
Lacework SAST offre aux ingénieurs en sécurité des applications une visibilité sur les vulnérabilités complexes de leurs applications Internet les plus exposées. Lacework fournit un modèle approfondi de chaque application et suit le cheminement des données non fiables afin d’éliminer les failles qui pourraient entraîner des exploitations dangereuses telles que l’injection SQL. Les équipes de sécurité des applications peuvent s’adapter aux exigences des équipes de développement beaucoup plus importantes grâce à un analyseur rapide capable d’évaluer des millions de lignes de code en quelques minutes.

Les outils SAST traditionnels sont connus pour produire du bruit et un grand nombre de faux positifs. Les faux négatifs ("bugs manqués") sont moins souvent soulignés, mais ils sont pourtant encore plus cruciaux pour la posture de sécurité. Lacework SAST utilise un ensemble de techniques sophistiquées pour analyser les chaînes d’appels et les chemins de contrôle d’une application. Le moteur hautement configurable de Lacework permet aux ingénieurs en sécurité de personnaliser et d’ajouter facilement des règles pour répondre aux besoins spécifiques de leur base de code unique. L’analyse SAST de Lacework est à la fois précise et rapide : elle présente peu de faux positifs et de faux négatifs.

Les capacités de sécurité du code annoncées par Lacework s’inscrivent dans le cadre de ses investissements dans la sécurité de l’infrastructure en tant que code (IaC) et correspondent à la vision de l’entreprise d’une plateforme axée sur les données qui couvre l’ensemble du cycle de vie de l’application. Une plateforme unique qui s’étend du code à la production donne aux équipes de sécurité une visibilité inégalée, prépare le terrain pour une consolidation plus poussée des outils, tout en permettant une innovation plus rapide et de meilleurs résultats en matière de sécurité.