Comment réussir sa migration DevSecOps?
trait de séparation
Temps de lecture : 3 minutes
Crank Software, Inc. est fournisseur innovant de solutions de développement d'interfaces graphiques utilisateurs – Graphic User Interface (GUI)-. Leurs produits et services permettent aux équipes de R&D et aux concepteurs d’interfaces utilisateurs – User Interface (UI) - dans des secteurs comme le médical et l'automobile, de développer rapidement et en collaboration des interfaces utilisateurs riches et animées pour les appareils embarqués à ressources limitées.
Pour améliorer l'intégrité et la sécurité de leur code, Crank Software, Inc. s'est associé à GrammaTech, un des leaders dans la fourniture d'outils d'assurance logicielle et de solutions avancées de cybersécurité. Crank Software a déployé avec succès GrammaTech CodeSonar, un outil avancé de test statique de sécurité des applications – Static Application Security Testing (SAST) - qui détecte et détermine rapidement les problèmes lié à la qualité du logiciel tout en s'intégrant très facilement dans le flux de travail.
Migration DevSecOps : le challenge
Crank Software voulait une solution SAST afin d’améliorer l'intégrité de leur code. Il était essentiel qu'ils trouvent une solution qui soit non seulement techniquement performante, mais également qui puisse être facilement intégrée dans leur écosystème technique et culturel ainsi que leur workflow DevSecOps.
Cela comprend une équipe vigilante d'environ 40 développeurs, dont des ingénieurs juniors qui dont leur mentalité est « tester tôt et souvent » avec comme état d'esprit de fournir un code fiable, robuste et sécurisé.
L’approche DevSecOps est une culture d’entreprise entre les équipes de développement, les équipes responsable de la sécurité logicielle et les équipes en charge de l’exploitation/déploiement des logiciels et qui travaillent ensemble pour répondre aux menaces le plus tôt et le plus rapidement possible. DevSecOps brise les silos entre les différents départements afin d’amener au final un code de meilleure qualité. Actuellement l’adoption de la méthodologie DevSecOps n’en est qu’aux premiers stades par le grand public avec une pénétration du marché de 20 à 50 % selon Gartner, mais avec une projection d'adoption générale dans les 2 à 5 années qui viennent.
L’adoption de DevSecOps chez Crank Software est guidée par les mêmes principes que ce processus de travail collaboratif promeut : qualité, robustesse et sécurité du logiciel. Les équipes de développement de Crank Software ont une politique de tolérance zéro pour les erreurs et s'efforce de protéger chaque aspect de leur travail contre les erreurs en cascade. L'intégration d’un outils SAST dans leur flux DevSecOps permettra à Crank Software d'atteindre cet objectif.
« CodeSonar est une solution intégrée qui protège les développeurs, en les gardant toujours éveillés. »
Cela comprend une équipe vigilante d'environ 40 développeurs, dont des ingénieurs juniors qui dont leur mentalité est « tester tôt et souvent » avec comme état d'esprit de fournir un code fiable, robuste et sécurisé.
L’approche DevSecOps est une culture d’entreprise entre les équipes de développement, les équipes responsable de la sécurité logicielle et les équipes en charge de l’exploitation/déploiement des logiciels et qui travaillent ensemble pour répondre aux menaces le plus tôt et le plus rapidement possible. DevSecOps brise les silos entre les différents départements afin d’amener au final un code de meilleure qualité. Actuellement l’adoption de la méthodologie DevSecOps n’en est qu’aux premiers stades par le grand public avec une pénétration du marché de 20 à 50 % selon Gartner, mais avec une projection d'adoption générale dans les 2 à 5 années qui viennent.
L’adoption de DevSecOps chez Crank Software est guidée par les mêmes principes que ce processus de travail collaboratif promeut : qualité, robustesse et sécurité du logiciel. Les équipes de développement de Crank Software ont une politique de tolérance zéro pour les erreurs et s'efforce de protéger chaque aspect de leur travail contre les erreurs en cascade. L'intégration d’un outils SAST dans leur flux DevSecOps permettra à Crank Software d'atteindre cet objectif.
« CodeSonar est une solution intégrée qui protège les développeurs, en les gardant toujours éveillés. »
Migration DevSecOps : la solution
GrammaTech est l'un des leaders mondiaux dans le développement et la fourniture de solutions d’analyse statique avancée de code ainsi que de solutions SAST, utilisées pour analyser, mesurer, détecter et résoudre les vulnérabilités dans les logiciels utilisés dans les industries soucieuses de la sécurité comme la défense, l'aérospatiale, la médecine et les transports. GrammaTech a été l'un des pionniers et catalyseurs du mouvement « Shift Left », et a toujours mis un accent particulier sur la qualité, la sûreté et la sécurité du logiciel quand ce mouvement a évolué vers une application pratique dans l’approche DevSecOps. En 2021, GrammaTech a créé la « Shift Left Academy », un forum éducatif afin d’aider les professionnels du développement de logiciels à mettre en œuvre une approche de « Security first » et de permettre aux équipes de se concentrer sur les projets futurs. au lieu de s'inquiéter des erreurs présentent dans le code.
Des outils avancés SAST comme GrammaTech CodeSonar protègent les logiciels contre les erreurs, le manque de qualité et les failles de sécurité tout en faisant progresser le processus DevSecOps.
CodeSonar est conçu pour prendre en charge grandes équipes de développement tout en permettant d’être « déposé » et intégré très facilement et très rapidement dans le processus de cycle de vie de développement logiciel des équipes.
Conçu spécialement pour les développeurs, c'est un outil fournissant des analyses détaillées et en profondeur qui permet de mettre une organisation sur la voie de l'adoption de DevSecOps, tout en détectant les vulnérabilités critiques et les problèmes de qualité et d’intégrer la sécurité logicielle à chaque étape du processus
Des outils avancés SAST comme GrammaTech CodeSonar protègent les logiciels contre les erreurs, le manque de qualité et les failles de sécurité tout en faisant progresser le processus DevSecOps.
CodeSonar est conçu pour prendre en charge grandes équipes de développement tout en permettant d’être « déposé » et intégré très facilement et très rapidement dans le processus de cycle de vie de développement logiciel des équipes.
Conçu spécialement pour les développeurs, c'est un outil fournissant des analyses détaillées et en profondeur qui permet de mettre une organisation sur la voie de l'adoption de DevSecOps, tout en détectant les vulnérabilités critiques et les problèmes de qualité et d’intégrer la sécurité logicielle à chaque étape du processus
Migration DevSecOps : les résultats
L'équipe de Crank Software a implémenté l’outil d’analyse statique avancée CodeSonar dans leur processus pour trouver et corriger efficacement des problèmes de sécurité et de qualité dans leur code et ce de manière transparente dans leurs pratiques de test de sécurité déjà établies et leur flux de travail DevSecOps existant.
« Nous voulions avoir un outil d'analyse statique facile à intégrer, qui déployé dans notre système d'intégration continue, s’exécute rapidement en ayant un faible nombre de faux positifs », déclare Thomas Fletcher, vice-président de Recherche et développement chez Crank Software. « Après avoir évalué d'autres solutions SAST, choisir GrammaTech était un bon choix et c'était la voie à suivre tellement il a été facile d'intégrer CodeSonar dans notre processus. »
Crank Software a également noté la possibilité d'utiliser CodeSonar comme outil pédagogique, intégrant les développeurs dans le Culture DevSecOps en toute simplicité.
« Cela complète vraiment cet ensemble de bonnes pratiques qu’amène CodeSonar complète parfaitement nos standards de codage, et aide à guider les développeurs juniors à écrire du code de meilleure qualité – ce n’est pas le genre de choses que vous apprenez à l'école, il s’agit de pratique », explique Fletcher. En conséquence, les problèmes sont détectés tôt dans le processus de développement, ce qui permet de gagner du temps, mais aussi de permettre à l'équipe d'employer et d'encourager la culture DevSecOps de manière organique.
« C'est sans aucun doute l'outil le plus simple à intégrer pour obtenir des résultats de grande qualité. » continue d’affirmer Thomas Fletcher.
Avec CodeSonar, Crank Software s’est assuré de la qualité, la sécurité et sûreté des outils logiciels qu’ils conçoivent et par voie de conséquence, ces mêmes avantages se répercutent sur les clients de Crank Software.
« Nous voulions avoir un outil d'analyse statique facile à intégrer, qui déployé dans notre système d'intégration continue, s’exécute rapidement en ayant un faible nombre de faux positifs », déclare Thomas Fletcher, vice-président de Recherche et développement chez Crank Software. « Après avoir évalué d'autres solutions SAST, choisir GrammaTech était un bon choix et c'était la voie à suivre tellement il a été facile d'intégrer CodeSonar dans notre processus. »
Crank Software a également noté la possibilité d'utiliser CodeSonar comme outil pédagogique, intégrant les développeurs dans le Culture DevSecOps en toute simplicité.
« Cela complète vraiment cet ensemble de bonnes pratiques qu’amène CodeSonar complète parfaitement nos standards de codage, et aide à guider les développeurs juniors à écrire du code de meilleure qualité – ce n’est pas le genre de choses que vous apprenez à l'école, il s’agit de pratique », explique Fletcher. En conséquence, les problèmes sont détectés tôt dans le processus de développement, ce qui permet de gagner du temps, mais aussi de permettre à l'équipe d'employer et d'encourager la culture DevSecOps de manière organique.
« C'est sans aucun doute l'outil le plus simple à intégrer pour obtenir des résultats de grande qualité. » continue d’affirmer Thomas Fletcher.
Avec CodeSonar, Crank Software s’est assuré de la qualité, la sécurité et sûreté des outils logiciels qu’ils conçoivent et par voie de conséquence, ces mêmes avantages se répercutent sur les clients de Crank Software.
