Suite aux récentes attaques de logiciels malveillants sur les registres NPM, Chainguard explique avoir remédié aux failles de sécurité dans l’écosystème JavaScript et ses bibliothèques de code.
Le fournisseur de solutions de sécurité pour le cycle de développement Chainguard a dévoilé récemment Libraries for JavaScript. D’après sa présentation, ces bibliothèques comportent un ensemble de versions fiables de milliers de dépendances JavaScript courantes résistantes aux logiciels malveillants, construites à partir du code source sur l’infrastructure SLSA L2 (Supply-chain Levels for Software Artifacts). Selon la société, cette construction sécurisée de chaque bibliothèque et de ses dépendances à partir du code source garantit aux équipes de sécurité et d’ingénierie qu’aucun logiciel malveillant n’a été inséré lors de la construction ou de la distribution des bibliothèques dans l’écosystème JavaScript, comblant ainsi une lacune importante dans le paysage des menaces. D’après le fournisseur, elles offrent une protection pour l’un des maillons les plus critiques et les plus vulnérables du cycle de développement logiciel : les dépendances linguistiques sur lesquelles s’appuient les développeurs pour créer et déployer des applications.
Chainguard rappelle que ce risque dans l’écosystème JavaScript n’est pas théorique. En septembre, une attaque supply chain sophistiquée compromettant le système de package Nx build a exposé plusieurs milliers de données comprenant des identifiants cloud et des tokens npm. « Ces attaques malveillantes contre les registres JavaScript comme NPM, que les développeurs téléchargent des milliards de fois par semaine, montrent le risque lié à des mécanismes traditionnels pour l’utilisation des bibliothèques de langage », a déclaré l’entreprise. De plus, le boom du développement JavaScript alimenté par l’IA offre davantage d’opportunités aux pirates. « Libraries for JavaScript s’intègre à des gestionnaires d’artefacts comme JFrog Artifactory et Sonatype Nexus afin de permettre aux équipes chargées de la sécurité des applications de combler les failles de sécurité dans l’écosystème JavaScript », a ajouté Chainguard.
Dans ses efforts permanents de lutte contre l’injection de logiciels malveillants à différentes étapes de construction et de distribution de logiciel open source, Chainguard a fait valoir qu’elle s’efforçait de créer chaque dépendance pour chaque bibliothèque JavaScript à partir de la source. Le fournisseur a également développé des offres pour Java et Python.
Outre la dernière mise à jour de son outil de dépôt de code, GitLab a annoncé un assistant d’IA Duo Enterprise. Objectif : rechercher et corriger des vulnérabilités et sécuriser le cycle de vie du développement logiciel.
Publié la semaine passée, cette mise à jour majeure de la plateforme devsecops de GitLab s’enrichit d’un catalogue CI/CD de composants de pipeline réutilisables et d’un tableau de bord de l’impact de l’IA. L’entreprise a également annoncé Duo Enterprise, un assistant alimenté par l’IA qui aide à détecter les vulnérabilités dans le code et à résoudre les goulets d’étranglement CI/CD. L’assistant fera l’objet d’un lancement virtuel le 24 juin. Il combine les fonctionnalités d’IA de Duo Pro axées sur les développeurs, ainsi que des suggestions et des explications de code, avec des fonctionnalités d’IA orientées vers l’entreprise pour d’autres aspects du cycle de vie du développement logiciel, comme la détection et la correction des vulnérabilités de sécurité et le résumé des discussions sur les problèmes et les demandes de fusion. « Duo Enterprise permettra aussi de résoudre les goulets d’étranglement et les échecs de CI/CD et d’améliorer la collaboration au sein de l’équipe », a déclaré GitLab.
Quant à GitLab 17, la mise à jour introduit un catalogue CI/CD qui propose aux utilisateurs de découvrir, de réutiliser et de contribuer à des composants CI/CD pré-construits. Ils peuvent par ailleurs créer un catalogue privé pour distribuer des pipelines personnalisés afin d’automatiser les flux de travail. L’ajout d’un tableau de bord axé sur l’impact de l’IA vise à aider les entreprises à comprendre l’impact de l’assistant de programmation Duo AI sur la productivité des développeurs. Par exemple, ces derniers peuvent comparer les tendances d’utilisation de l’IA avec les indicateurs de développement logiciel comme le temps d’exécution, le temps de cycle, les métriques DORA et les vulnérabilités.
Un gestionnaire des secrets natif aussi au menu
Par ailleurs, GitLab prévoir d’apporter plusieurs améliorations à sa plateforme devsecops, notamment :
– Un gestionnaire de secrets natif qui permettra aux utilisateurs de stocker des informations d’identification sensibles ;
– Des intégrations de tests statiques de sécurité des applications (Static Application Security Testing, SAST) pour améliorer la précision, réduire les faux positifs et résoudre les risques au niveau de la couche applicative ;
– Des capacités d’analyse pour comprendre les modèles de comportement des utilisateurs, mesurer les performances du produit et prioriser l’amélioration des fonctionnalités ;
– Des capacités de planification agile d’entreprise, y compris des épopées améliorées, des champs personnalisés dans les problèmes et des feuilles de route ;
– Un registre de modèles pour les scientifiques des données afin de développer des modèles AI/ML sur la même plateforme que celle où les ingénieurs construisent et déploient le code.