La supply chain logicielle de plus en plus menacée

En hausse de 300 % d’une année sur l’autre, les attaques ayant pour cible la chaîne d’approvisionnement logicielle se multiplient, constituant aujourd’hui une priorité absolue en matière de sécurité pour les gouvernements du monde entier. La Maison Blanche a d’ailleurs récemment publié un décret visant à renforcer la sécurité de cette dernière, dès le développement.

Pour Aqua, ces menaces émanent d’artefacts tiers, de dépendances open source et d’acteurs malveillants, ciblant les environnements et les outils de développement des organisations. Pour combattre ces risques croissants, Aqua a enrichi sa solution de protection des applications cloud natives CNAPP de nouvelles fonctionnalités la transformant en la seule solution du marché capable de protéger la supply chain, du code jusqu’à l’exécution, à la fois à travers l’application et l’infrastructure sous-jacente.

Par ailleurs, pour le Systems Sciences Institute d’IBM "La correction d’un bug identifié lors de la phase d’implémentation coûte six fois plus cher que s’il l’avait été dans la phase de conception ; ce coût étant encore 15 fois supérieur durant la phase de tests." La solution d’Aqua fournit des alertes et des tests d’acceptation tout au long des étapes de code et du build afin de réduire, de manière proactive et dès que possible, les risques au cours du cycle de vie du développement. Ces politiques de sécurité peuvent être automatisées, offrant ainsi l’opportunité de raccourcir davantage la boucle de rétroaction et d’éliminer les coûts associés.

Une solution de sécurité de la chaîne d’approvisionnement logicielle intégrée dans une plateforme CNAPP.

La nouvelle solution fait partie la plateforme CNAPP totalement intégrée d’Aqua, dédiée à la protection des applications cloud natives. Première solution CNAPP à inclure la protection de la chaîne d’approvisionnement logicielle, Aqua redéfinit ainsi le marché en offrant plus d’intégration et de protection de bout-en-bout.

Les nouvelles fonctionnalités

• Scan du code en quelques minutes sans quitter le workflow du développeur, alimenté par Trivy Premium - le scanner de vulnérabilités et de mauvaises configurations le plus complet pour les applications et l’infrastructure cloud natives d’Aqua. Les développeurs peuvent détecter et remédier aux vulnérabilités et autres risques de sécurité au sein du code, pour délivrer plus rapidement un code de confiance.
• Gestion CI/CD : protection de la chaîne d’outils CI/CD (Intégration continue/Distribution Continue) pour activer un environnement DevOps Zero-trust. Le Principe du Moindre Privilège est appliqué pour réduire les risques de sécurité et répondre aux exigences de conformité. Les erreurs de configuration dangereuses de la plateforme DevOps (GitHub, Jenkins, Nexus) peuvent, quant à elles, être rapidement repérées et facilement corrigées. La solution pointe également du doigt les menaces internes inhérentes à la suppression des contrôles de sécurité, aux modifications en masse de l’accès aux comptes utilisateurs ou à la modification d’un dépôt de code sensible.
• Sécurité des pipelines : Identification des pipelines d’Intégration Continue nouveaux ou non conformes et application de politiques de sécurité personnalisables en un seul clic. Définition de mesures de renforcement spécifiques sur le pipeline de production pour valider que chaque artefact nouvellement créé soit bien signé et analysé afin de détecter les vulnérabilités, les secrets et les configurations erronées liés à l’Infrastructure-as-Code (IaC).
• SBOM (Software Bill of Materials) de nouvelle génération : Création d’une nomenclature logicielle de nouvelle génération avec l’opportunité d’enregistrer chaque étape et action depuis le moment où un développeur a engagé la dernière modification d’un code lors du build jusqu’à la génération du nouvel artefact final. Grâce à la signature du code, les utilisateurs peuvent également vérifier l’historique de ce dernier et être assurés que le code créé soit identique à celui dans la tool chain de développement.
• Évaluation du code Open Source : Capacité d’évaluer la santé et la réputation d’un code open source. Aqua note chaque paquet open source selon la qualité, la maintenabilité, la popularité et le risque d’incidents au sein de la chaîne d’approvisionnement. La solution peut automatiquement empêcher l’entrée du code à risque dans la base de code. Les développeurs sont également avertis en temps réel des paquets potentiellement dangereux.

Dans le prolongement de l’acquisition réalisée en décembre 2021, le lancement et le déploiement de la solution Supply Chain d’Aqua constitue la dernière étape de l’intégration de la technologie Argon Security.