BLOG

Étirement à gauche avec surveillance de la sécurité des applications Threat Stack

Miniature F5
F5
Mise à jour le 10 août 2020

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .

Les développeurs ont toujours été surchargés de travail. Ils sont confrontés à un flux constant de travail axé sur les fonctionnalités de l'entreprise et doivent équilibrer cela avec un travail impliquant les performances, la qualité, la fiabilité et la dette technique. Bien que DevOps et les pipelines CI/CD hautement automatisés aient rendu les développeurs plus productifs en supprimant les tâches non liées au développement à faible valeur ajoutée, ils ont en réalité rendu la pression de livraison encore plus grande. Selon le DORA Accelerate 2018 : Selon le rapport sur l'état de DevOps , les équipes DevOps les plus performantes déploient du code 46 fois plus fréquemment que les équipes les moins performantes. Cela représente beaucoup plus de travail pour les développeurs — un travail à fort impact, heureusement, mais plus de travail néanmoins. 

Aujourd’hui, l’industrie de la sécurité dit à ces organisations qu’elles doivent « déplacer la sécurité vers la gauche » et adopter DevSecOps. Cela signifie déplacer la responsabilité de la sécurité plus tôt dans le processus de développement et l’intégrer à l’approche DevOps du développement et de la livraison de logiciels. Cela semble formidable en principe, mais les conversations DevSecOps commencent rarement par une recommandation d’embaucher des ingénieurs logiciels supplémentaires. Alors, comment les développeurs déjà surchargés de travail sont-ils censés assumer le fardeau de la sécurité en plus des fonctionnalités, de la qualité, des performances et de la dette technologique ? Ce n’est pas qu’ils s’en moquent ; c’est juste une question de temps. Dans un récent rapport Threat Stack, 44 % des professionnels DevOps ont déclaré qu'ils devraient faire appel à quelqu'un d'autre pour les problèmes liés à la sécurité. Et même s’ils trouvent du temps à consacrer à la sécurité, de nombreux développeurs manquent de l’expertise nécessaire pour savoir comment améliorer la sécurité de leurs applications. Une étude de 2016 a révélé que parmi les 10 meilleurs programmes d’informatique aux États-Unis, aucun ne nécessite un cours de cybersécurité pour obtenir le diplôme. 

Pour de nombreux développeurs, « décaler vers la gauche » ressemble beaucoup à « nous confier plus de travail ».

Les équipes de sécurité ne sont pas insensibles. Ils ressentent depuis des années les effets d'un excès de logiciels et d'une couverture de sécurité insuffisante. De nombreuses organisations ne disposent pas d’une équipe dédiée à la sécurité des applications, et celles qui en disposent sont extrêmement sollicitées. Selon la dernière enquête BSIMM , les entreprises disposant d'une équipe de sécurité logicielle formelle doivent se contenter en moyenne d'un seul membre de l'équipe de sécurité pour 75 développeurs ! Vous pouvez être sûr que le professionnel de la sécurité ne veut pas être celui qui empêche 75 développeurs de fournir la valeur client promise à l'entreprise ! Lors de la conférence RSA de cette année, 40 % des personnes interrogées ont déclaré que l'obstacle le plus important à la mise en œuvre des programmes de sécurité des applications était leur impact sur l'agilité et la rapidité du développement ou du déploiement des applications. 

Alors, quelle est la solution ? La sécurité ne peut pas être simplement transférée vers l’arriéré d’équipes de développement non préparées et surchargées de travail, mais les équipes AppSec manquent de personnel et d’accès au SDLC pour traiter les risques liés aux applications dès le début du processus.

Nous avons récemment introduit Threat Stack Application Security Monitoring (également appelé AppSec Monitoring) dans notre solution d'observabilité de sécurité cloud complète dans le cadre de Threat Stack Cloud Security Platform® (sans frais supplémentaires). AppSec Monitoring a été conçu pour répondre de front à ces défis DevSecOps. Nous pensons que la sécurité des applications dans un monde DevOps est rendue possible lorsque nous atteignons trois objectifs :

  1. Créez des opportunités pour aborder la sécurité des applications le plus tôt possible dans le processus
  2. Fournir un moyen aux professionnels de la sécurité d'aider les développeurs à hiérarchiser le travail qui aura le plus d'impact
  3. Donnez aux développeurs le contexte et la formation dont ils ont besoin pour pouvoir réduire les risques avec une aide minimale

Les développeurs ajoutent AppSec Monitoring à leur application dès le début du développement en l'ajoutant en tant que dépendance, comme tout autre composant tiers. Une fonction d’initialisation d’une seule ligne est ajoutée à l’application, et c’est tout ce qui est nécessaire pour démarrer. Il n’est pas nécessaire d’installer des serveurs ou des outils supplémentaires, ni d’écrire ou de gérer des tests. AppSec Monitoring fonctionne silencieusement en arrière-plan chaque fois que l'application s'exécute, afin que le développeur puisse poursuivre son travail de développement sans ralentir. À partir de ce moment et jusqu’à la fin du SDLC, AppSec Monitoring continue de s’exécuter à l’intérieur de l’application pour aider l’équipe à protéger et à réduire les risques.

 

Un ajout de code sur une seule ligne ajoute Threat Stack AppSec Monitoring à n'importe quelle application Node.js

(Un ajout de code sur une seule ligne ajoute Threat Stack AppSec Monitoring à n'importe quelle application Node.js.)

Chaque fois que l’application s’exécute, que ce soit sur la machine locale d’un développeur, dans l’environnement de build, en test ou en production, Threat Stack analyse l’application pour identifier les risques potentiels. Il peut s’agir d’un risque lié à l’utilisation d’une cryptographie faible, d’invocations de méthodes non sécurisées, de configurations de base de données incorrectes ou même à l’utilisation de composants tiers connus pour être vulnérables. Les professionnels de la sécurité de l'équipe (ou les développeurs eux-mêmes) peuvent examiner les résultats pour décider lesquels doivent être traités en premier - et Threat Stack aide en les classant par niveau de risque. 

Le risque ne peut être réduit que si les développeurs disposent des informations dont ils ont besoin pour y faire face. AppSec Monitoring fournit cela sous la forme de contenu d'apprentissage en ligne qui explique le risque aux développeurs dans leur propre langue, avec des exemples de code et des liens vers d'autres contenus d'apprentissage externes. Il aide également les développeurs à identifier l’emplacement exact du risque dans leur application, en mettant en évidence le nom de la méthode et du module, le nom du fichier et même le numéro de ligne, que le risque se trouve dans leur propre code natif ou dans un composant tiers. Les développeurs acquièrent une compréhension du problème et disposent du contexte nécessaire pour le trouver et le corriger dans leur code, le tout dès les premières étapes du développement, lorsqu’il est plus facile et moins coûteux de le résoudre.

Grâce à ces trois avantages — identification précoce des risques, aide à la priorisation, et contexte et formation pour gérer les risques — la sécurité des applications n'est pas déplacée vers la gauche : C'est étiré vers la gauche. Il est intégré au processus et facilite la coopération entre les équipes de développement et de sécurité.

Même avec les meilleurs efforts de sécurité en matière de développement, des acteurs malveillants peuvent toujours tenter d’attaquer une application en production. Si tel est le cas, Threat Stack Application Security Monitoring peut également détecter et bloquer ces attaques en temps réel. Nous expliquerons exactement comment cela fonctionne dans le prochain article. 

Pour en savoir plus sur la surveillance de la sécurité des applications de Threat Stack, disponible dans le cadre de la plateforme de sécurité cloud Threat Stack sans frais supplémentaires, inscrivez-vous pour une démonstration. Nos experts en sécurité se feront un plaisir de discuter de vos exigences spécifiques en matière de sécurité et de conformité.

Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .