Chez ActiveState depuis près de huit ans, j’ai vu de nombreuses itérations de notre produit. Cependant, une chose est restée vraie au fil des années : notre engagement envers la communauté open source et les entreprises utilisant l’open source dans leur code.
ActiveState aide les entreprises à gérer l’open source depuis plus d’une décennie. Au début, l’open source en était à ses balbutiements. Nous nous sommes principalement concentrés sur le cas des développeurs, en aidant à obtenir l’open source sur des plateformes comme Windows.
Au fil du temps, notre objectif est passé d’aider les entreprises à gérer l’open source à soutenir les entreprises qui gèrent l’open source lorsque la communauté ne le produisait pas comme elle en avait besoin. Nous avons commencé à gérer les builds à grande échelle et à aider les entreprises à comprendre quel open source elles utilisent et si celui-ci est conforme et sûr.
La gestion de l’open source à grande échelle dans une grande organisation peut s’avérer complexe. Pour aider les entreprises à surmonter ce problème et à structurer leur pratique DevSecOps open source, nous dévoilons notre plateforme de bout en bout pour les aider à gérer la complexité de l’open source.
L’état actuel de l’open source et de la sécurité de la chaîne d’approvisionnement
Il est inévitable que la popularité croissante de l’open source entraîne un afflux de problèmes de sécurité. L’adoption de l’open source dans les applications logicielles modernes est importante. Sur 90 % des applications contiennent des composants open source. L’open source est désormais au cœur de la manière dont nous produisons des logiciels, et nous avons atteint un point où il constitue le principal vecteur permettant aux acteurs malveillants d’accéder à presque tous les logiciels.
Les attaques existent depuis toujours, mais le nombre d’incidents a augmenté ces dernières années. La pandémie a fait apparaître de nouvelles opportunités pour les mauvais acteurs. Lorsque les gens utilisaient leurs propres réseaux domestiques et VPN avec des mesures de sécurité moins strictes, cela a commencé à impliquer davantage de risques. Malgré les efforts de retour au bureau, de nombreux informaticiens sont toujours chez eux, ces opportunités existent donc toujours.
De plus, de nombreuses entreprises n’ont pas mis en place de processus pour choisir et acquérir des logiciels open source, de sorte que les développeurs les trouvent et les intègrent aveuglément. Le problème est que les entreprises ne savent pas d’où vient le code open source, qui l’a construit et avec quelles intentions. Cela crée de multiples opportunités d’attaques tout au long du processus de la chaîne d’approvisionnement des logiciels open source.
L’open source est un écosystème ouvert, ce qui le rend vulnérable « de par sa conception ». Il doit être aussi ouvert que possible pour ne pas empêcher les auteurs de contribuer, mais il existe un véritable défi pour assurer sa sécurité tout au long du processus de développement.
Les risques n’existent pas seulement lorsque vous importez. Si votre service de build n’est pas sécurisé lorsque vous commencez à construire, vous pouvez courir un risque. La plupart des attaques les plus récentes que nous avons observées sont des attaques contre la chaîne d’approvisionnement de logiciels open source et non des vulnérabilités. Cela nécessite une toute nouvelle approche de la sécurité open source.
Réinventer le processus de gestion open source
Chez ActiveState, notre mission est d’apporter de la rigueur à la chaîne d’approvisionnement open source. Les entreprises peuvent obtenir une meilleure visibilité et un meilleur contrôle sur leur code open source dans DevSecOps en se concentrant sur un cycle de gestion en quatre étapes.
Étape 1 : Découverte
Avant même de pouvoir commencer à corriger les vulnérabilités, vous devez savoir ce que vous utilisez dans votre code. Il est important de faire l’inventaire de tous les logiciels open source exécutés au sein de votre organisation. Un artefact de cet effort pourrait ressembler à un tableau de bord.
Étape 2 : Priorisation
Une fois que vous disposez du tableau de bord, vous pouvez commencer à analyser les vulnérabilités et les dépendances et prioriser celles sur lesquelles vous concentrer en premier. Comprendre où se trouvent les risques dans votre base de code et les trier vous aidera à prendre des décisions éclairées sur les prochaines étapes.
Étape 3 : mise à niveau et conservation
Vient maintenant la phase de remédiation et de gestion du changement. Vous souhaiterez établir une gouvernance et des politiques pour gérer l’open source dans votre organisation afin que tout le monde reste aligné dans les fonctions et les équipes.
Vous devez également gérer étroitement les dépendances utilisées dans les environnements de production et de développement afin de minimiser les risques.
Dans notre plateforme, nous maintenons un large catalogue immuable de logiciels open source. Nous conservons un enregistrement cohérent et reproductible d’environ 50 millions de composants de version, et nous l’enrichissons constamment. Cela aide nos utilisateurs à s’assurer qu’ils peuvent toujours revenir à des versions reproductibles. Cela signifie que vous pouvez gérer l’intégralité d’Internet pour l’open source tout en étant sûr qu’il est sécurisé.
Étape 4 : Créer et déployer
La phase de construction et de déploiement implique d’incorporer des composants open source sécurisés et sécurisés dans votre code – car vous n’êtes pas vraiment corrigé et sécurisé tant que les correctifs ne sont pas déployés. Chez ActiveState, nous construisons et suivons tout. Du moment où nous ingérons le code source jusqu’au moment où nous l’intégrons dans un cluster sécurisé. Nous vous le remettons ensuite sous différents formats à déployer en fonction de vos besoins. Nous sommes la seule solution (à notre connaissance) qui aide réellement les entreprises à remédier à leurs problèmes et à les déployer, complétant ainsi le cycle de vie complet consistant à garantir la sécurité de la chaîne d’approvisionnement logicielle.
Un nouvel ActiveState : s’attaquer de front aux défis de sécurité de l’open source
Grâce à notre travail dans le domaine de l’open source au cours de la dernière décennie, nous avons découvert qu’il existe un fossé entre les communautés passionnées produisant de l’open source et les entreprises qui souhaitent l’utiliser dans leurs logiciels. Nous contribuons désormais à combler cet écart, en renforçant l’écosystème open source tout en apportant la sécurité aux organisations.
La plate-forme actualisée que nous avons développée et axée sur la facilitation de la collaboration entre différents acteurs des organisations, notamment les développeurs, DevOps et la sécurité. Notre plateforme aide les équipes à exécuter en douceur un cycle continu de gestion de l’open source.
Il existe six cas d’utilisation clés sur lesquels nous nous concentrons pour aider les équipes à obtenir des résultats.
- Découvrabilité et observabilité : Obtenez un aperçu complet de tout, de l’utilisation de l’open source aux emplacements de déploiement.
- Intégration open source continue : Gardez votre code à jour, évitez les modifications brutales et éliminez les risques.
- Gestion de l’environnement sécurisé : Assurez-vous que vos environnements de développement, de test et de production sont cohérents et reproductibles.
- Gouvernance et gestion des politiques : Maintenez un catalogue open source organisé sans ralentir les temps de développement.
- Conformité réglementaire : Conformez-vous automatiquement aux réglementations gouvernementales et accélérez les examens de sécurité.
- Au-delà de l’accompagnement en fin de vie : Restez stable et sécurisé même après la fin de vie des systèmes
Si votre équipe peut bénéficier du support pour l’un de ces cas d’utilisation, notre nouvelle plateforme peut vous aider. Explorez la plateforme ActiveState actualisée avec un Essai de plateforme d’entreprise aujourd’hui.
Note: Cet article perspicace vous est présenté par Pete Garcíndirecteur principal des produits chez ActiveState, partageant son expertise et son point de vue unique sur l’évolution des défis et des solutions en matière de gestion open source.