Un outil open-source pour la sécurité des logiciels

La triste réalité de l’industrie de la sécurité logicielle est qu’il est beaucoup plus facile d’attaquer un système que de le protéger. Les pirates n’ont besoin de trouver qu’une seule vulnérabilité pour réussir, tandis que les développeurs de logiciels doivent protéger leur code contre toutes les attaques possibles.

L’asymétrie signifie que lorsqu’un programmeur solo crée involontairement une application populaire, celle-ci devient rapidement un poisson vulnérable dans un océan de menaces. Les grandes entreprises ont des équipes de sécurité logicielle, mais elles ont acquis la réputation parmi les développeurs de ralentir les déploiements car elles examinent minutieusement les lignes de code pour se protéger contre les attaques.

Maintenant, la startup r2c cherche à faire de la sécurisation des logiciels une expérience plus transparente avec un outil open source pour la relecture du code. De la même manière que Grammarly trouve des erreurs grammaticales ou des opportunités d’amélioration dans les essais et les e-mails, l’outil r2cs, appelé Semgrep, analyse les lignes de code pour rechercher des milliers de bogues et de vulnérabilités potentiels.

Au cœur de Semgrep se trouve une base de données de plus de 1 500 règles pré-écrites que les professionnels de la sécurité peuvent intégrer dans leurs analyses de code. S’ils ne voient pas celui qu’ils veulent, ils peuvent écrire leurs propres règles en utilisant l’interface intuitive de r2cs et l’ajouter à la base de données pour les autres.

Si vous savez programmer dans un langage, vous pouvez maintenant écrire des règles et étendre Semgrep, et c’est là que vous démocratisez fondamentalement ce domaine qui n’était accessible qu’aux personnes ayant des compétences hautement spécialisées, déclare Luke OMalley 14, chef de produit de r2c, qui co -a fondé l’entreprise avec Isaac Evans 13 ans, SM 15 ans et Drew Dennison 13 ans. Maintenant que n’importe qui peut écrire une règle, vous pouvez puiser dans les connaissances spécialisées des gens dans leurs domaines. C’est la grande percée. Semgrep est un projet open source réalisé par des développeurs, pour des développeurs.

En plus de simplifier le processus de mise en œuvre des normes de code, r2c a favorisé une communauté de professionnels de la sécurité qui peuvent partager des idées et réfléchir à des solutions aux dernières menaces. Cet écosystème de support s’est avéré crucial dans une industrie en évolution rapide dans laquelle les professionnels de la sécurité peuvent se réveiller n’importe quel matin et lire les nouvelles vulnérabilités exposées par les hacks à certaines des plus grandes entreprises technologiques de la planète.

Il peut être frustrant de voir que les ordinateurs sont si peu sûrs même s’ils ont 40 ou 50 ans, dit Dennison. J’aime me rappeler les automobiles. Soixante ans dans le monde de l’automobile, nous n’avions toujours pas de ceintures de sécurité ni d’airbags. C’est vraiment lorsque nous avons commencé à mesurer la sécurité et à établir des normes que l’industrie s’est améliorée. Maintenant, votre voiture dispose de toutes sortes de dispositifs de sécurité sophistiqués. Nous aimons faire la même chose pour les logiciels.

Apprendre à pirater

En tant qu’étudiants de premier cycle au MIT, Evans, OMalley et Dennison vivaient côte à côte à Simmons Hall. Les trois étudiants en génie électrique et en informatique ont rapidement commencé à travailler ensemble dans divers programmes de campus et projets parallèles. Au cours de la période d’activités indépendantes de 2011, ils ont décroché un contrat pour aider le personnel militaire de l’armée à utiliser les applications sur les téléphones Android de manière plus sécurisée.

Cela a vraiment cimenté nos rôles parce que Drew jouait le rôle de directeur technique du projet, Isaac était PDG et je travaillais sur les produits, et ce sont les rôles dans lesquels nous sommes tombés avec r2c, dit OMalley. Ce n’était pas officiellement une entreprise, mais nous nous sommes donné un nom et nous l’avons traité comme si nous étions une startup.

Les trois fondateurs ont également participé au programme Gordon-MIT Engineering Leadership (GEL).

GEL m’a vraiment aidé à réfléchir à la façon dont une équipe travaille ensemble, et à la façon dont vous communiquez et écoutez, dit Dennison. Cela m’a aussi donné des gens à admirer. Joël Schindall [MITs Bernard M. Gordon Professor in Product Engineering] était un grand mentor. Je lui ai demandé si nous devions transformer l’armée en une startup, et ses conseils étaient judicieux. Il a dit, allez faire des erreurs aux dépens de quelqu’un d’autre pendant quelques années. Il ya beaucoup de temps.

Tenant compte de ce conseil, les fondateurs se sont séparés après l’obtention de leur diplôme, rejoignant différentes entreprises mais gardant toujours à l’esprit leurs collaborations fructueuses.

En 2016, les fondateurs ont commencé à explorer les opportunités dans le domaine de la sécurité logicielle. Au MIT, Evans avait rédigé sa thèse de maîtrise sur les techniques avancées de sécurité logicielle, mais les fondateurs voulaient créer quelque chose qui pourrait être utilisé par des personnes sans ces connaissances techniques approfondies.

Les fondateurs ont exploré plusieurs projets différents liés à la numérisation de code avant un hackathon interne en 2019, lorsqu’un collègue leur a montré un ancien projet open source sur lequel il avait travaillé chez Facebook pour aider à analyser le code. Ils ont décidé de passer le hackathon à relancer le projet.

Les fondateurs ont entrepris d’élargir l’outil en le rendant compatible avec plus de langages, et de profondeur en lui permettant de comprendre le code à des niveaux plus élevés. Leur objectif était de faire en sorte que Semgrep s’intègre parfaitement dans les flux de travail de sécurité existants.

Avant qu’un nouveau code ne soit déployé par une entreprise, il est généralement examiné par l’équipe de sécurité (bien que les fondateurs affirment que les experts en sécurité sont 100 fois plus nombreux que les développeurs de nombreuses entreprises). Avec Semgrep, l’équipe de sécurité peut implémenter des règles ou des vérifications qui s’exécutent automatiquement sur le code pour signaler les problèmes potentiels. Semgrep peut s’intégrer à Slack et à d’autres programmes courants pour fournir les résultats. Il fonctionne aujourd’hui avec plus de 25 langages de codage liés au codage de développement mobile, back-end, front-end et Web.

En plus de la base de données de règles, r2c propose des services pour aider les entreprises à tirer le meilleur parti du moteur de recherche de bogues en s’assurant que chaque base de code est analysée pour les bonnes choses sans causer de retards inutiles.

Semgrep change la façon dont les logiciels peuvent être écrits, de sorte que vous pouvez soudainement aller vite et être sécurisé, ce qui n’était tout simplement pas possible pour la plupart des équipes auparavant, déclare OMalley.

Un effet réseau

Lorsqu’une vulnérabilité majeure à un framework logiciel largement utilisé connu sous le nom de Log4Shell a été récemment révélée, le canal Slack de la communauté r2cs a pris vie.

Tout le monde disait : OK, voici une nouvelle menace, que faisons-nous pour la détecter ? rappelle OMalley. Ils ont rapidement dit, Voici la variante A, B, C pour tout le monde. C’est le pouvoir de démocratiser l’écriture des règles.

Les fondateurs sont constamment surpris par l’endroit où Semgrep est utilisé. Les grands clients incluent des entreprises comme Slack, Dropbox et Snowflake. Le ministère de l’Intérieur d’un grand gouvernement d’État leur a récemment fait part d’un projet important pour lequel ils utilisaient Semgrep.

Alors que la popularité de Semgreps continue de croître, les fondateurs pensent qu’ils seront en mesure de développer leurs analyses pour donner aux développeurs un aperçu instantané de la sécurité de leurs bases de code.

L’industrie de la sécurité au sens large ne dispose pas d’une tonne de mesures sur nos performances, déclare Dennison. Il est difficile de répondre à des questions telles que nous améliorons-nous ? Notre logiciel s’améliore-t-il ? Avançons-nous contre les attaquants ? Alors, comment pouvons-nous arriver à un point où nous pouvons vous donner un score de qualité de code ? Puis soudain, vous simplifiez la sécurité des logiciels.

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepteLire la suite