La firme américaine WhiteSource (représentée en France par Isit), spécialiste des solutions de sécurité des applications, a changé de nom pour s’appeler désormais Mend. La société lance dans le même temps ce qu’elle estime être une solution de correction automatisée des problèmes de sécurité d’un code logiciel, et annonce l'intégration de Mend Supply Chain Defender (anciennement WhiteSource Diffend) dans le plug-in JFrog Artifactory, le tout au sein de la plate- forme de sécurité globale des applications Mend.
Pour rappel, Mend (*) sécurise un logiciel en fournissant une correction, une prévention et une protection automatisées des vulnérabilités rencontrées avec la mise en place automatique de correctifs suggérés.
Aujourd’hui, Mend étend ses activités au-delà de son socle technologique lié au marché de l'analyse de la composition logicielle (SCA, Software Composition Analysis) en allant sur le terrain de la sécurité de la chaîne d'approvisionnement grâce à l’acquisition de Diffend en avril 2021, ainsi qu'aux rachats des start-up Xanitizer et DefenseCode en février de cette année. Des opérations qui permettent de fournir désormais la plate-forme de sécurité globale des applications Mend.
Cette plate-forme combine les technologies de correction automatisée pour les tests de sécurité des applications statiques (SAST, Static Application Security Testing) avec la capacité de Mend à le faire dans le cadre d’une analyse de la composition logicielle, processus automatisé qui identifie le logiciel open source dans une base de code pour évaluer la sécurité, la conformité des licences et la qualité du code. A ce titre, la plate-forme est, selon la société, la première à trouver et corriger automatiquement les failles de sécurité des applications impliquant à la fois du code open source et du code personnalisé.
Dans le détail la solution de Mend procure une correction automatisée pour le code open source et propriétaire d’un projet logiciel en fournissant des correctifs pour chaque ligne de code, sans avoir à rechercher des correctifs pour chaque problème de sécurité rencontré. La plate-forme fournit une correction automatisée pour les opérations SCA et SAST, avec une présentation des correctifs directement dans le référentiel du développeur, pour une intégration facilitée au sein de son flux de travail.
Quant à l’intégration de Mend Supply Chain Defender avec le plug-in Artifactory, elle permet de détecter et bloquer les logiciels open source malveillants dans le plug-in de la plate-forme Mend pour le registre Artifactory. Ce qui permet aux entreprises d'utiliser JFrog Artifactory en tant que gestionnaire de référentiel privé afin d’empêcher les logiciels open source malveillants d'entrer dans leur base de code. En utilisant une seule installation de Supply Chain Defender, les entreprises peuvent ainsi protéger tous les projets impliquant JavaScript ou Ruby avec un point d'application et d'audit centralisé. Tous les résultats sont affichés pour le code open source et propriétaire dans un référentiel de code personnalisé pour une vue unique dans l'environnement natif des développeurs.
« Les attaquants ciblent de plus en plus les applications comme le maillon le plus faible pour s'en prendre aux organisations, et en même temps, la pression pour fournir des logiciels plus rapidement n'a jamais été aussi forte, commente Rami Sass, cofondateur et CEO de Mend. Dans ce cadre, Mend a pour ambition de s’attaquer à ce dilemme entre sécurité et délais de livraison en fournissant une solution qui automatise la réduction de la surface d'attaque logicielle tout en supprimant une partie de la charge de travail concernant la sécurité des applications. »
(*) Avec des revenus en hausse de 800% au cours des trois dernières années, la société a ajouté 350 nouveaux clients au cours de la dernière année et compte désormais plus de 1 000 clients. Son dernier cycle de financement, annoncé en avril 2021, a atteint 75 millions de dollars en série D.
Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC