DevSecOps dans l'Aerospatiale & Défense
trait de séparation
Une enquête récente publiée par Lynx Software Technologies révèle l'adoption généralisée des pratiques DevSecOps dans les secteurs critiques de l'aérospatiale et de l'avionique, en particulier ceux liés au gouvernement et à la défense. Ce taux élevé d'adoption de DevSecOps (72 % au cours des deux dernières années sur la base des réponses) est principalement dû aux dirigeants de la suite C préoccupés par les ransomwares et autres menaces de sécurité. Ils reconnaissent également la nécessité de prendre en charge en toute sécurité les transformations numériques qui conduiront à des systèmes plus connectés qui sont développés principalement grâce à une programmation agile.
« Les aéronefs et les systèmes avioniques sont de plus en plus connectés, qu'ils soient commerciaux ou militaires, et le gouvernement exerce une pression intense pour accélérer l'adoption de l'IA et d'autres nouvelles technologies tout en réduisant les cycles de développement afin de rattraper les pays concurrents », déclare Ian Ferguson , vice-président du marketing chez Lynx, qui a aidé à formuler les questions de l'enquête. "De plus en plus, ce qui est articulé à Washington concerne le développement avancé de la Chine et les plans de la Russie pour un champ de bataille électronique d'ici 2030 avec des avions et des drones connectés à des plates-formes terrestres."
Une partie de cela se produit déjà dans la guerre en Ukraine. Et, dans une récente interview de ShiftLeft, l'ancien responsable des logiciels de l'armée de l'air et de la force spatiale Nicolas M. Chaillan a décrit comment il a créé PlatformOne , un référentiel open source sécurisé pour soutenir le développement agile dans les branches militaires afin de suivre le rythme de l'évolution. opérations sur le champ de bataille et rivaliser avec des pays adversaires faisant progresser leurs technologies de guerre.
Lynx Software Technologies permet ce type d'agilité en fournissant une connectivité de plate-forme aux systèmes critiques utilisés dans les systèmes militaires, aérospatiaux et fédéraux habités et autonomes. Les plates-formes Lynx sont basées sur des normes ouvertes via son système d'exploitation renforcé en temps réel LynxOS, une interface de développement de type UNIX nommée POSIX et des composants logiciels réutilisables certifiés FAA basés sur des normes. Grâce à l' acquisition des meilleures technologies, les plates-formes Lynx prennent en charge les flux de travail de développement sécurisés , tels que l'analyse statique et la génération de SBOM, ainsi que la maintenance à vie des applications basées sur l'IOT qui pourraient rester opérationnelles pendant des décennies.
« Nous sommes un fournisseur de logiciels qui, depuis trente ans, se concentre sur les systèmes militaires et avioniques. Lynx est impliqué dans les hélicoptères Lockheed-Martin , les drones armés Grey Eagle de General Atomics et une gamme de systèmes qui doivent fonctionner en permanence de manière déterministe », note Ferguson. "Nous entrons dans ces plates-formes avec des outils de couverture de code, y compris une analyse statique pour identifier pleinement le package de logiciels que nous fournissons et pour identifier les vulnérabilités et les lacunes."
À l'appui de ces systèmes de plus en plus connectés, critiques pour la sécurité et à la mission, 77 % des répondants à l'enquête Lynx ont cité la nécessité d'identifier et de résoudre les problèmes de sécurité plus tôt dans le processus de développement comme un contributeur clé à l'adoption de DevSecOps. Et près de 88 % des répondants du segment de l'aviation ont déclaré que leurs organisations avaient mis en œuvre DevSecOps à chaque étape, du développement aux tests, en passant par la surveillance, les commentaires, le déploiement et la poursuite des opérations.
Le support système continu est également essentiel, ajoute Ferguson. Dans ces secteurs, les développeurs doivent planifier la présence de systèmes connectés sur le long terme. En d'autres termes, ils doivent également passer à droite pour les prendre en charge longtemps après le déploiement. "Lorsque nous parlons aux fournisseurs de moteurs à réaction et d'autres infrastructures d'avions, ils veulent que leurs systèmes fonctionnent pendant vingt-cinq ans ou plus. Les développeurs de ces systèmes doivent adopter une vision à long terme des vulnérabilités existantes. Même s'ils ont livré un système il y a cinq ans, ils doivent corriger et mettre à jour de manière contrôlée. »
Dans l'enquête, 53 % des personnes interrogées ont cité les recertifications de produits et de composants comme le troisième facteur de motivation le plus courant pour passer à DevSecOps après la peur des ransomwares (81 %) et le soutien à la transformation numérique (71 %). Le rapport d'enquête, What To Know About Aerospace & Defense 's Latest Security Trend, a été commandé par Lynx Software Technologies et réalisé par Zogby Analytics en octobre. Il a interrogé plus de 200 décideurs informatiques des secteurs aérospatial, aéronautique, gouvernemental/public et militaire pour analyser l'état de DevSecOps dans l'industrie aérospatiale et de la défense.
« La bonne nouvelle est que ces systèmes sont connectés et soutiennent les transformations numériques. Mais la mauvaise nouvelle est que ces systèmes critiques sont connectés. Ainsi, les organisations doivent suivre les meilleures pratiques DevSecOps tout au long du cycle de vie du système », présume Ferguson. Heureusement, dans l'enquête, près des deux tiers (65 %) des décideurs informatiques ont déclaré que la sécurité restait la priorité absolue dans leur processus de développement, 90 % des répondants de la suite C déclarant qu'ils considéraient la sécurité et la sûreté du système comme la priorité absolue.
Découvrez la solution CodeSonar de GrammaTech pour vous permettre de respecter les normes de sécurité avionique DO 178C
« Les aéronefs et les systèmes avioniques sont de plus en plus connectés, qu'ils soient commerciaux ou militaires, et le gouvernement exerce une pression intense pour accélérer l'adoption de l'IA et d'autres nouvelles technologies tout en réduisant les cycles de développement afin de rattraper les pays concurrents », déclare Ian Ferguson , vice-président du marketing chez Lynx, qui a aidé à formuler les questions de l'enquête. "De plus en plus, ce qui est articulé à Washington concerne le développement avancé de la Chine et les plans de la Russie pour un champ de bataille électronique d'ici 2030 avec des avions et des drones connectés à des plates-formes terrestres."
Une partie de cela se produit déjà dans la guerre en Ukraine. Et, dans une récente interview de ShiftLeft, l'ancien responsable des logiciels de l'armée de l'air et de la force spatiale Nicolas M. Chaillan a décrit comment il a créé PlatformOne , un référentiel open source sécurisé pour soutenir le développement agile dans les branches militaires afin de suivre le rythme de l'évolution. opérations sur le champ de bataille et rivaliser avec des pays adversaires faisant progresser leurs technologies de guerre.
Lynx Software Technologies permet ce type d'agilité en fournissant une connectivité de plate-forme aux systèmes critiques utilisés dans les systèmes militaires, aérospatiaux et fédéraux habités et autonomes. Les plates-formes Lynx sont basées sur des normes ouvertes via son système d'exploitation renforcé en temps réel LynxOS, une interface de développement de type UNIX nommée POSIX et des composants logiciels réutilisables certifiés FAA basés sur des normes. Grâce à l' acquisition des meilleures technologies, les plates-formes Lynx prennent en charge les flux de travail de développement sécurisés , tels que l'analyse statique et la génération de SBOM, ainsi que la maintenance à vie des applications basées sur l'IOT qui pourraient rester opérationnelles pendant des décennies.
« Nous sommes un fournisseur de logiciels qui, depuis trente ans, se concentre sur les systèmes militaires et avioniques. Lynx est impliqué dans les hélicoptères Lockheed-Martin , les drones armés Grey Eagle de General Atomics et une gamme de systèmes qui doivent fonctionner en permanence de manière déterministe », note Ferguson. "Nous entrons dans ces plates-formes avec des outils de couverture de code, y compris une analyse statique pour identifier pleinement le package de logiciels que nous fournissons et pour identifier les vulnérabilités et les lacunes."
À l'appui de ces systèmes de plus en plus connectés, critiques pour la sécurité et à la mission, 77 % des répondants à l'enquête Lynx ont cité la nécessité d'identifier et de résoudre les problèmes de sécurité plus tôt dans le processus de développement comme un contributeur clé à l'adoption de DevSecOps. Et près de 88 % des répondants du segment de l'aviation ont déclaré que leurs organisations avaient mis en œuvre DevSecOps à chaque étape, du développement aux tests, en passant par la surveillance, les commentaires, le déploiement et la poursuite des opérations.
Le support système continu est également essentiel, ajoute Ferguson. Dans ces secteurs, les développeurs doivent planifier la présence de systèmes connectés sur le long terme. En d'autres termes, ils doivent également passer à droite pour les prendre en charge longtemps après le déploiement. "Lorsque nous parlons aux fournisseurs de moteurs à réaction et d'autres infrastructures d'avions, ils veulent que leurs systèmes fonctionnent pendant vingt-cinq ans ou plus. Les développeurs de ces systèmes doivent adopter une vision à long terme des vulnérabilités existantes. Même s'ils ont livré un système il y a cinq ans, ils doivent corriger et mettre à jour de manière contrôlée. »
Dans l'enquête, 53 % des personnes interrogées ont cité les recertifications de produits et de composants comme le troisième facteur de motivation le plus courant pour passer à DevSecOps après la peur des ransomwares (81 %) et le soutien à la transformation numérique (71 %). Le rapport d'enquête, What To Know About Aerospace & Defense 's Latest Security Trend, a été commandé par Lynx Software Technologies et réalisé par Zogby Analytics en octobre. Il a interrogé plus de 200 décideurs informatiques des secteurs aérospatial, aéronautique, gouvernemental/public et militaire pour analyser l'état de DevSecOps dans l'industrie aérospatiale et de la défense.
« La bonne nouvelle est que ces systèmes sont connectés et soutiennent les transformations numériques. Mais la mauvaise nouvelle est que ces systèmes critiques sont connectés. Ainsi, les organisations doivent suivre les meilleures pratiques DevSecOps tout au long du cycle de vie du système », présume Ferguson. Heureusement, dans l'enquête, près des deux tiers (65 %) des décideurs informatiques ont déclaré que la sécurité restait la priorité absolue dans leur processus de développement, 90 % des répondants de la suite C déclarant qu'ils considéraient la sécurité et la sûreté du système comme la priorité absolue.
Découvrez la solution CodeSonar de GrammaTech pour vous permettre de respecter les normes de sécurité avionique DO 178C
Ces articles peuvent vous intéresser
DO-178 : Répondre aux exigences de la norme de Sûreté de Fonctionnement Logiciel Avionique
Comment automatiser la réponse aux exigences logicielles de la norme avionique ?
Accélérer l’analyse SAST
Pourquoi équilibrer les résultats et les ressources des tests de sécurité des applications est-ce important ?
Analyse SCA (Software Composition Analysis) : définition et bénéfices
La plateforme WhiteSource, distribuée en France par IST, est une solution d’analyse SCA (Software Composition Analysis). Terme relativement nouveau dans l’industrie, l'analyse de composition logicielle désigne l’ensemble des outils permettant de dresser l’inventaire des Open Source utilisés dans une application.