IriusRisk lance la norme Open Threat Model pour sécuriser le cycle de vie du développement logiciel

IriusRisk a lancé une nouvelle norme Open Threat Model (OTM) pour permettre une plus grande connectivité et interopérabilité entre la modélisation des menaces et d’autres parties du cycle de vie du développement logiciel (SDLC). La norme OTM a été publiée sous une licence Creative Commons et fournit un moyen indépendant de l’outil de décrire un modèle de menace dans un format simple à utiliser et à comprendre, a déclaré IriusRisk.

La norme peut tirer parti d’un large éventail de formats sources et prend en charge de nouvelles sources de conception d’applications et de systèmes, tout en permettant également aux utilisateurs d’échanger des données de modèle de menace au sein du SDLC et de l’écosystème de cybersécurité. Une API d’accompagnement permet aux utilisateurs de fournir un fichier OTM qu’IriusRisk utilise pour créer un modèle de menace complet à l’aide du moteur de règles, qui contient une vaste bibliothèque de composants et de modèles de risque.

Standard conçu pour sécuriser les SDLC, simplifier la modélisation des menaces

La norme OTM fait partie de la version 4.1 du produit IriusRisk et est conçue pour les architectes logiciels, le personnel DevOps et DevSecOps qui travaillent à une conception sécurisée et souhaitent contribuer à l’adoption de la modélisation des menaces en tant que norme de l’industrie, a expliqué IriusRisk dans une publication sur son site Internet. Il présente des modèles de menace dans un format commun permettant aux utilisateurs d’utiliser des données via des intégrations et fonctionne avec différents formats source, y compris Amazon Web Services Cloudformation.

Les utilisateurs peuvent également écrire et partager des analyseurs pour des artefacts tels que des fichiers CloudFormation, Visio ou Docker Compose. De plus, OTM facilite les échanges entre les organisations, a ajouté IriusRisk. Comme il a été lancé sous Creative Commons, le standard peut être utilisé dans des projets open source ou même par des fournisseurs commerciaux pour partager des modèles de menace de leurs systèmes, afin que ceux-ci soient à leur tour utilisés par les organisations adoptant ces systèmes.

Commentant dans un communiqué de presse, Stephen De Vries, PDG et fondateur d’IriusRisk, a déclaré : Avec le lancement de notre norme Open Threat Model, nous construisons un outil qui transformera le processus de modélisation des menaces. Avec la communauté élargie de la sécurité et des développeurs contribuant à la norme, nous sommes ravis de voir l’impact combiné que nous pouvons avoir sur la conception sécurisée en faisant de la modélisation des menaces une pratique de plus en plus simple et largement adoptée.

La norme OTM pourrait remédier à l’incohérence de la sécurité du développement logiciel

La norme arrive à un moment où les implications de sécurité entourant les SDLC ont un impact significatif sur les organisations. L’année dernière, un rapport d’Osterman Research a souligné une incohérence considérable entre les équipes de développement de logiciels et les fonctions de cybersécurité, aggravant les risques de la chaîne d’approvisionnement en logiciels auxquels sont confrontées les entreprises. Il a révélé que 45 % des équipes de développement estimaient que leur compréhension des dernières attaques d’applications faisait défaut, la grande majorité admettant avoir sciemment mis en ligne du code vulnérable.