Introduction
La chaîne d’approvisionnement logicielle moderne représente un paysage de menaces en constante évolution, chaque package ajouté au manifeste introduisant de nouveaux vecteurs d’attaque. Pour répondre aux exigences du secteur, les organisations doivent maintenir un processus de développement rapide tout en restant à jour avec les derniers correctifs de sécurité. Cependant, dans la pratique, les développeurs sont souvent confrontés à un volume important de tâches de sécurité sans priorisation claire et passent complètement à côté d’une partie importante de la surface d’attaque.
Le principal problème vient des méthodes de détection et de priorisation utilisées par les outils traditionnels d’analyse de code statique (SCA) pour les vulnérabilités. Ces méthodes ne disposent pas du contexte organisationnel spécifique nécessaire pour prendre une décision éclairée en matière de notation : le score, même s’il est critique, peut ne pas être obtenu. en fait être critique pour une organisation car son infrastructure fonctionne d’une manière unique, ce qui affecte l’impact réel que la vulnérabilité pourrait avoir.
En d’autres termes, étant donné que ces outils dépendent d’une méthodologie relativement naïve pour déterminer le risque d’une vulnérabilité, ils aboutissent à des scores de vulnérabilité essentiellement non pertinents, ce qui rend beaucoup plus difficile la détermination des vulnérabilités à traiter en premier.
De plus, ils ne répondent pas à de nombreuses attaques de la chaîne d’approvisionnement, telles que le typosquatting, l’injection de code malveillant, les attaques CI/CD, etc. Cet oubli induit en erreur les équipes et les développeurs de sécurité des applications (AppSec) en les poussant à se concentrer sur des problèmes moins critiques, retardant ainsi le processus de développement et laissant l’organisation vulnérable à d’importants vecteurs d’attaque.
Sécurité miroir développe des solutions innovantes à ces défis en révolutionnant la façon dont les organisations détectent, priorisent et remédient aux risques liés à leur chaîne d’approvisionnement. La plate-forme Myrror garantit qu’AppSec et les équipes d’ingénierie résolvent les bons problèmes au bon moment en utilisant une analyse binaire à source pour chaque package tiers de la base de code. Contrairement aux outils SCA traditionnels qui évaluent l’impact à l’aide de la détection au niveau de la version dans les fichiers manifestes, Myrror utilise un algorithme propriétaire d’analyse des vulnérabilités d’accessibilité. Cet algorithme identifie les vulnérabilités réellement accessibles en production, permettant ainsi à Myrror de prioriser avec précision les problèmes de sécurité.
Cette revue de plateforme vous guidera tout au long du parcours utilisateur de Myrror, de l’intégration SCM initiale au générateur de plan de remédiation, et fournira un aperçu concis des innovations introduites par Myrror Security pour éviter la lassitude due aux alertes, permettre à votre organisation de travailler plus efficacement et de protéger ses données. des menaces de la chaîne d’approvisionnement logicielle moderne. Pour obtenir une démo personnalisée, visitez leur site internet ici.
Mise en route et configuration
Myrror est conçu pour une installation facile sur la plateforme de gestion de code source existante de l’organisation. Lorsque Myrror est connecté à votre SCM, un processus de découverte des dépendances de l’organisation commence. L’organisation peut ensuite sélectionner des référentiels spécifiques pour une analyse active des vulnérabilités et des attaques de la chaîne d’approvisionnement, fournissant ainsi un aperçu hiérarchisé des risques identifiés.
La rubrique Découverte
Cette section vous permet de faire le point sur le risque de chaîne d’approvisionnement associé à votre base de code et de déterminer le paysage réel des menaces auxquelles vous êtes exposé à partir de vos dépendances open source.
L’onglet Référentiels vous montre tous les problèmes dans chaque référentiel surveillé et vous permet de choisir lesquels surveiller et lesquels ignorer. Cela vous permettra de supprimer certains bruits associés aux référentiels qui ne sont pas utilisés activement, qui seront bientôt obsolètes ou qui ne sont tout simplement pas pertinents. Cet onglet sert de panneau de contrôle sur tous vos référentiels. Il complète l’écran des problèmes en vous dirigeant vers vos référentiels les plus à risque, ce qui permet d’avoir une vue d’ensemble des menaces au niveau du projet ou de l’application.
L’onglet Dépendances regroupe toutes les dépendances open source de votre base de code et crée un graphique de tous les référentiels dans lesquels chacune est utilisée. Cet aperçu clé vous permet d’obtenir une image complète des bibliothèques open source sur lesquelles s’appuie votre organisation. Malgré l’immense augmentation des référentiels open source dans pratiquement tous les projets logiciels, les organisations n’ont aucun contrôle sur les dépendances externes ; faire l’inventaire de ce qui est utilisé dans votre code est la première étape pour contrôler ce qui se passe.
Le tableau de bord Myrror
Une fois l’installation terminée et l’utilisateur choisit les référentiels à analyser, le tableau de bord Myrror est renseigné avec des informations sur vos référentiels, leurs dépendances et les problèmes qu’ils contiennent. Lorsque l’utilisateur choisit de surveiller des référentiels supplémentaires ou de connecter davantage de sources SCM, le tableau de bord est automatiquement mis à jour avec plus d’informations sur les nouvelles bases de code.
Le tableau de bord fournit des informations de haut niveau sur les problèmes dans l’ensemble de la base de code de l’organisation, notamment :
- État de détection
- Problèmes par catégorie
- Dépendances avec statut de sécurité
- Le référentiel le plus risqué
- Problèmes par langue de code,
- État de la remédiation
- Dépendances hors données
- Et plus
Ces tableaux et graphiques génèrent un aperçu détaillé et complet, fournissant aux organisations un aperçu clair des domaines nécessitant le plus de travail. Notez le filtre de référentiel en haut à droite : cela permet à des équipes spécifiques d’obtenir des informations précises sur leur travail et les référentiels dont elles sont en charge et d’exporter uniquement les données pertinentes pour elles.
L’écran des problèmes
C’est le cœur de la plateforme Myrror Security. Ici, tous vos problèmes sont hiérarchisés et signalés en fonction de leur gravité réelle, de leur accessibilité et de leur exploitabilité pour une compréhension claire de ce qu’il faut résoudre ensuite. Divers paramètres sont organisés en colonnes, offrant un aperçu plus approfondi de chaque problème spécifique.
Parmi ces paramètres, la colonne d’accessibilité distingue Myrror des plates-formes SCA traditionnelles. Il évalue si le problème est réellement atteignable en production, ce qui entre en compte dans la priorisation – garantissant que les vulnérabilités accessibles peuvent être traitées en premier.
Mais la plateforme ne se limite pas à hiérarchiser les vulnérabilités en fonction de leur accessibilité : elle examine également s’il s’agit d’une dépendance directe ou indirecte, si un correctif est disponible pour résoudre le problème et si l’existence d’un exploit a été confirmée dans la nature. Tous ces paramètres aident la plateforme à prioriser les problèmes de manière précise et fiable.
Vous pouvez voir toutes les informations suivantes sur chaque vulnérabilité :
- Gravité (en tenant compte de tous les facteurs ci-dessus)
- Origine
- Accessibilité
- Fichier(s) de dépendance
- Catégorie – Vulnérabilité / Attaque de la chaîne d’approvisionnement (pour en savoir plus, consultez la section Détection des attaques de la chaîne d’approvisionnement)
- Exploiter la disponibilité
- Disponibilité du correctif
- Relation de dépendance
- Vu la première fois
- Engagement d’origine
Des filtres (y compris un filtre de référentiel) sont également disponibles ici, ainsi qu’une option permettant d’exporter le tableau et de télécharger des informations pour la création de rapports. Cela aide les équipes de sécurité à conserver les enregistrements dans le stockage local et à générer des rapports d’audit interne. Ces rapports, envoyés par courrier électronique à l’utilisateur, contiennent des informations complètes directement depuis la plateforme qui peuvent être partagées avec d’autres membres de l’équipe et parties prenantes.
Notez qu’il y a 3 onglets différents disponibles sur cet écran :
- L’onglet « Tous » contient tous les problèmes combinés, fournissant sur une seule page des informations sur le paysage global des menaces de la chaîne d’approvisionnement, y compris les vulnérabilités et les attaques.
- L’onglet « recommandé » contient les problèmes spécifiques recommandés pour la résolution par gravité et accessibilité – essentiellement votre volet « à consulter » pour décider quoi résoudre en premier.
- Enfin, l’onglet « Faible risque » contient des problèmes que vous pourrez résoudre ultérieurement.
Chaque problème comporte également son analyse approfondie, avec des informations sur l’impact, la portée et l’origine des problèmes affichés sur un seul écran. Cet aperçu détaillé fournit des liens externes vers le CVE pour en savoir plus, ainsi que des informations sur les référentiels concernés et un plan de remédiation concret pour garantir qu’une action rapide puisse être prise sur chaque problème.
Les principaux onglets disponibles sur cet écran sont :
- Détails : un aperçu principal de la vulnérabilité ou de l’attaque de la chaîne d’approvisionnement
- Référentiels concernés – une liste de tous les référentiels qui dépendent de ce package, vous permettant de « relier les points » sur l’ensemble de la base de code surveillée
- Plan de remédiation – Myrror calcule le chemin optimal de remédiation, garantissant que le plus petit nombre de vulnérabilités nouvellement introduites se retrouve dans la base de code une fois le processus de remédiation terminé.
- Aperçu de l’attaque (voir la section suivante pour plus de détails)
Détection des attaques sur la chaîne d’approvisionnement
Gardez à l’esprit que Myrror fait plus que simplement détecter les vulnérabilités : il détecte également diverses formes d’attaques de la chaîne d’approvisionnement, y compris, mais sans s’y limiter :
- Typosquattage
- Confusion des dépendances
- Code malveillant dans le dépôt / injection de code
- Attaque CI/CD
Lorsqu’il détecte ces attaques, le mécanisme de détection et le plan de remédiation peuvent ne pas être aussi simples que les vulnérabilités normales. Dans ces cas, Myrror présentera une analyse plus approfondie de l’attaque, permettant aux praticiens de comprendre la situation et d’identifier le maillon concret de la chaîne en cause. Voir ci-dessous un exemple d’analyse par Myrror d’une attaque par injection de code :
Le générateur de plan de remédiation
La planification de vos efforts de remédiation nécessite généralement de comprendre les nouvelles menaces introduites lors de l’application des correctifs. Dans la plupart des cas, l’application d’un correctif entraîne un nouvel ensemble de vulnérabilités en raison des nouvelles dépendances (et de leurs dépendances transitives) qu’il introduit.
Pour chaque référentiel surveillé, Myrror simplifie le processus de résolution des problèmes en calculant automatiquement le nombre de correctifs disponibles pour tous les problèmes, le nombre de nouvelles vulnérabilités qui seront introduites au cours du processus de résolution et le nombre de problèmes qui resteront à la fin.
Conclusion
Les équipes AppSec souffrent aujourd’hui d’une profonde lassitude face aux alertes, en raison d’un nombre écrasant de problèmes de sécurité et d’un manque de priorité claire sur les sujets sur lesquels travailler en premier. De plus, la plupart des équipes ignorent totalement les attaques de la chaîne d’approvisionnement auxquelles elles sont exposées et ne disposent d’aucun moyen clair pour les détecter ou proposer des mesures correctives appropriées.
La priorisation basée sur l’accessibilité de Myrror offre un moyen de sortir de l’enfer de la vulnérabilité. Dans le même temps, leur mécanisme d’analyse binaire à source permet de détecter bien plus que de simples vulnérabilités et vous permet de vous défendre contre une multitude d’attaques de la chaîne d’approvisionnement.
Vous pouvez réserver une démo pour en savoir plus sur leur site internet ici.









