En effet, les développeurs peuvent identifier les failles de sécurité pendant qu’ils codent, afin de les détecter dès qu’elles apparaissent et les corriger, réduisant ainsi leur charge de travail future en diminuant les éventuels problèmes qu’ils devront résoudre plus tard.
Mais les outils SAST (Static application security testing) traditionnels se sont révélés peu adaptés aux besoins des développeurs. Trop lentes et manquant de précisions, ils peuvent faire perdre un temps considérable et ont contribué à altérer la confiance des développeurs pour cet outil. Alors que la cybercriminalité est en hausse, les développeurs sont de plus en plus pressés par le temps.
Ils ne peuvent donc plus ignorer les outils SAST. Mais comment leur assurer une expertise en sécurité fiable sans compromettre leur productivité ?
Choisir les bons outils
Tous les outils SAST ne sont pas identiques, et les développeurs doivent combiner différents outils pour répondre aux besoins de leur projet. Trois facteurs sont alors à prendre en compte :
- Un outil compatible avec les attentes des développeurs. L’analyse de la composition des logiciels fonctionne à travers différents langages et bibliothèques. Il est important de s’assurer que les outils choisis sont compatibles avec les langages de programmation utilisés par l’équipe et qu’ils ne la ralentissent pas. L’utilisation de plugins dans des environnements de développement intégrés (IDE) peut-être une solution pour intégrer au mieux ces outils à l’environnement de travail des développeurs. Enfin, l’outil SAST doit être évolutif pour pouvoir détecter de nouvelles vulnérabilités potentielles.
- La précision comme priorité. La multiplication de faux positifs est un sujet de mécontentement récurrent au sein des entreprises. En adoptant un outil SAST dédié aux développeurs, c’est à dire qui met l’accent sur la mise en place de pratique rapide et simple grâce à une intelligence artificielle, les résultats deviennent plus précis et immédiatement exploitables.
- Ainsi, un outil SAST moderne peut proposer un moteur d’analyse sémantique basé sur l’intelligence artificielle, ce qui réduit considérablement le nombre de faux positifs.
- Ne pas ralentir le cycle de vie du développement logiciel. L’efficacité est un facteur de différenciation essentiel pour garantir un développement rapide et agile. La vitesse d’exécution d’un outil SAST doté d’une intelligence artificielle permet de l’exploiter pendant la phase de développement au sein de l’IDE mais aussi lors de la revue au sein d’un logiciel de gestion des versions du code, libérant ainsi les développeurs de cette tâche. Un outil SAST “developer-first“ utilisant des modèles d’IA peut fonctionner 10 à 50 fois plus vite que les produits SAST traditionnels.
Choisir les moments opportuns
L’analyse statique des programmes doit être intégrée dans le cycle de vie du développement logiciel. Par exemple, la plupart des IDE prennent en charge des plugins pour les linters (outil d’analyse de code qui permet de détecter les erreurs et les problèmes de syntaxe) et donnent un retour d’information direct aux développeurs pendant qu’ils travaillent sur le code.
Il est préférable de les exécuter dans une marge de performance intéressante afin de fournir un retour d’information exploitable sans créer trop d’interruptions. Les messages du compilateur doivent également être analysés, de préférence directement dans l’IDE.
Un autre moment pour exécuter l’analyse est avant une pull request. Certains IDE comme IntelliJ de JetBrains disposent d’une liste d’outils intégrés de vérification statique des programmes. L’inconvénient de ces outils est qu’ils ne sont pas adaptés à une exécution en temps réel pendant le développement car ils ont un temps d’exécution plus long. Il est donc préférable de les utiliser à ce moment ou pendant une vérification de code.
Après avoir effectué une pull request, toutes les fonctionnalités doivent être ré-exécutées pour envoyer suffisamment d’information à la personne chargée de la révision du code. Si ce dernier est conscient du temps nécessaire à cette étape, les outils ayant un temps d’exécution plus long pourront être utilisés durant cette étape de révision. Une suite de tests complets doit également être exécutée de manière quotidienne et, bien sûr, avant le déploiement. Cette analyse, pour être optimale, doit combiner des tests statiques et dynamiques.
Il convient de noter que l’analyse statique du code peut potentiellement gêner un développement piloté par les tests (Test driven development). En effet, lorsque le code est délibérément écrit à un niveau de qualité inférieur, l’évidence des failles est exagérée. Pour que les deux fonctionnent ensemble, les développeurs doivent prendre en main les tests de qualité mais ne pas forcément les faire si tôt dans le processus de développement.
Bien analyser les résultats et agir en conséquence
Lors de l’analyse de l’efficacité de l’outil SAST, les objectifs doivent être construits autour des bugs corrigés, et non des bugs trouvés mais non résolus. Déterminer le succès sur le nombre de problèmes possibles ne conduira pas à un gain de productivité, bien au contraire, il faut donc axer son analyse sur les corrections appliquées et la gravité des vulnérabilités traitées.
Les derniers outils SAST, permettent aux développeurs de corriger les failles de sécurité rapidement et dans leur environnement de travail préféré, avant qu’elles ne deviennent des problèmes plus importants. Cependant, leur application et la façon dont les résultats sont traités nécessitent un examen attentif. Si les développeurs veulent bénéficier d’un maximum d’avantages, ils doivent choisir les bons outils, les utiliser aux bons moments et savoir comment agir sur leurs résultats.
