Synopsys veut favoriser l’analyse de sécurité d’un code en continu pendant la phase de développementL’américain Synopsys annonce, par le biais de sa branche Synopsys Software Integrity Group, la disponibilité de l’outil logiciel Code Sight Standard Edition, une version autonome du plug-in de l’outil Code Sight actuel. Destiné à s’intégrer dans des environnements de développement existants, ce plug-in permet aux développeurs de trouver et corriger rapidement les défauts de sécurité dans un code source, les dépendances entre codes open source, les fichiers d'infrastructure en tant que code, etc. avant de valider leur programme. Pour y parvenir, Code Sight Standard Edition s'appuie sur les technologies Rapid Scan Static et Rapid Scan SCA de Synopsys pour délivrer in fine une analyse rapide de la sécurité des applications dans l'environnement de développement intégré (IDE) de l'utilisateur, évitant ainsi les reprises causées par des problèmes découverts trop tard dans le cycle de vie du développement logiciel. L’idée est de corriger les défauts de sécurité pendant la phase de codage, et donc de réduire la charge sur les tests de sécurité en aval et de minimiser les retouches du code pour résoudre les problèmes découverts tardivement. Dans ce contexte, Code Sight SE vise les développeurs qui n'ont pas besoin d'être des experts en sécurité. L’outil leur fournit directement des descriptions de défauts faciles à comprendre, ainsi que des données sur leur gravité et des conseils afin qu'ils puissent corriger les défauts constatés le plus rapidement possible. Code Sight SE est aussi optimisé pour effectuer des analyses de sécurité sur des fichiers et des projets volumineux en quelques secondes, avec un impact minimal sur le système. Selon Synopsys, cette approche évite aux développeurs d’avoir recours systématiquement à des solutions centralisées de test de sécurité des applications statiques (SAST, Static Application Security Testing) ou d'analyse de la composition logicielle (SCA, Software Composition Analysis). Il s’agit plutôt d’aider les équipes à tirer le meilleur parti de ces technologies de test et d’utiliser l’outil conjointement, et de manière indépendante, avec des logiciels comme Coverity et Black Duck (tous deux faisant partie des solutions de sécurité proposées par Synopys), généralement utilisés plus tard dans le cycle de développement d’un projet. Concrètement, les développeurs peuvent d'ores et déjà télécharger et installer Code Sight directement depuis la place de marché de Synopsys (VS Code Marketplace) et commencer à analyser leur code très rapidement. Synopsys précise que Code Sight Standard Edition est disponible gratuitement pour une période d'essai de 30 jours. « À l'ère du développement logiciel moderne, la vitesse de travail est cruciale et le risque logiciel équivaut désormais à une risque commercial, explique Jason Schmitt, directeur général du groupe Synopsys Software Integrity. Ce qui signifie que les développeurs assument une grande responsabilité dans la protection de leurs organisations et qu'ils n'ont pas toujours le luxe de s'arrêter et d'analyser à tête reposée leur projet. Doter ces équipes d'une technologie qui les aide à écrire du code plus sécurisé dès le départ peut réduire considérablement le temps passé à réparer des défauts de sécurité du source et du code plus tard. Mais cet avantage ne peut être obtenu que si les développeurs n’ont pas à changer leur façon de travailler ou à basculer entre différents outils. C’est l’approche de Code Sight qui est utilisé directement dans l'outil qu'ils connaissent déjà. » |