Le portail Web baptisé Secure Software Development Resource Center mis en place par l’éditeur britannique de solutions de validation logicielle LDRA a pour ambition d'assister concrètement les développeurs quant à la manière d'intégrer la sécurité dans leurs logiciels embarqués. L'objectif étant de les aider à prévenir les piratages,... les réclamations en termes de responsabilité, les atteintes à la réputation, les problèmes de conformité, etc. Ce portail en ligne guide les développeurs à travers les phases du cycle de vie du développement logiciel, depuis les exigences jusqu'à la vérification en passant par la conception, la modélisation et l'écriture de code, que les développeurs utilisent un modèle en V traditionnel, un cycle en cascade ou une approche agile.
En mettant en œuvre les meilleures pratiques du moment, telles que la traçabilité bidirectionnelle qui relie les objectifs des normes de sécurité fonctionnelle et de sécurité aux exigences, aux modèles, à la conception, au code, aux tests et aux artefacts de test, les développeurs augmentent, selon LDRA, leur capacité à créer un code sécurisé.
« Trop souvent, les entreprises conçoivent d'abord leurs logiciels et les testent plus tard, ce qui conduit invariablement à un code non sécurisé qui met les personnes et les biens en danger, explique Ian Hennell, directeur des opérations chez LDRA. Les ressources de sécurité de notre nouveau portail sont conçues pour aider les entreprises à apprendre à intégrer la sécurité dans leurs logiciels dès le début, car tenter de renforcer la sécurité après coup est coûteux et sujet à erreurs. Empêcher les vulnérabilités d'entrer dans le code pendant la construction répond de manière plus satisfaisante aux exigences de sécurité croissantes des appareils et des systèmes connectés pour diverses applications verticales telles que l'automobile, l'aérospatial et la Défense, l'industriel et l'énergie, le rail, le médical et l'IoT. »
Concrètement, le portail propose dans son contenu des informations sur l’identification des failles d’un logiciel cible, exploitables par des pirates, et les éléments clés associés aux mesures de protection utilisées pour sécuriser les applications, en particulier lorsque les conceptions impliquent des points d'extrémité IoT.
Au-delà, le portail détaille ce qu’est un cycle de vie du développement logiciel sécurisé (SSDLC, Secure Software Development Life Cycle) et fournit une introduction détaillée aux approches proactives pour garantir que le code est sécurisé par construction.
Au niveau test, les développeurs apprendront comment le test de logiciels d'application statique (SAST, Static Application Security Testing) peut être mis en œuvre tôt dans un cycle de développement, ce qui réduit le coût de la correction des vulnérabilités. Ils pourront aussi voir comment le test de logiciels d'application dynamique (DAST, Dynamic Application Security Testing) en boîte blanche analyse et complète les techniques SAST et DAST en boîte noire.
Les ressources de sécurité du portail en ligne mettent aussi en évidence des études de cas d'entreprises telles que HCC Embedded et Now Technologies qui ont réussi à améliorer la sûreté et la sécurité de leurs produits en utilisant la suite d'outils LDRA en vue de créer des applications avec une approche sécurité à toutes les étapes du développement logiciel.
Pour l’avenir, LDRA souhaite que son portail avec ses ressources intègre les meilleures pratiques de sécurité que les utilisateurs ont mis en œuvre afin de partager leurs expériences.
