Imaginez que dès votre premier jour dans votre nouveau poste, un incident de production majeur mobilise l'intervention de chaque membre de votre équipe. De nombreuses vulnérabilités critiques apparaissent, nécessitant une attention, une analyse, une atténuation et une correction immédiates. Mais par où commencer votre enquête ?
Découvrez comment l'explication et la résolution des vulnérabilités de GitLab Duo, ainsi que nos autres fonctionnalités alimentées par l'IA, peuvent vous aider à résoudre les vulnérabilités en quelques minutes. L'exemple pratique ci-dessous illustre comment bénéficier de l'assistance alimentée par l'IA de GitLab Duo pour analyser et expliquer les vulnérabilités. Des mesures correctives supplémentaires, accompagnées de corrections de code générées par l'IA dans les merge requests, sont également mises en évidence afin d'accélérer la résolution des vulnérabilités.
Démarrez un essai gratuit de GitLab Duo pour profiter des avantages de la correction des vulnérabilités au sein de vos équipes.
Première étape : l'analyse
La première étape consiste à évaluer l'impact et la gravité de la vulnérabilité. Ouvrez l'interface utilisateur de GitLab et accédez au rapport de vulnérabilités accessible via le menu Sécurisation > Rapport de vulnérabilités. Appliquez le filtre SAST pour identifier les vulnérabilités les plus critiques à traiter.
Les résultats du scanner SAST sont présentés sous forme d'un résumé dans la vue détaillée, avec un lien vers le code source. Ils incluent des informations provenant d'avis de sécurité accessibles au public. Les équipes de développement rencontrent souvent des difficultés pour lancer l'analyse directement à partir du rapport de sécurité, surtout si elles ne sont pas pleinement informées de la portée de l'attaque, des détails techniques et des environnements affectés.
Comprendre et atténuer les risques avec l'explication des vulnérabilités
Il est essentiel de bien comprendre la vulnérabilité et de déterminer la manière la plus appropriée et la plus efficace de la corriger. Les corrections apportées ne doivent pas compromettre les fonctionnalités existantes. Si c'est le cas, il est important d'échanger avec les chargés de maintenance et les Product Owners, et de fournir un résumé détaillé des vulnérabilités ainsi que des mesures d'atténuation possibles. Lorsque vous devez traiter du code écrit par un ancien employé qui a quitté l'entreprise ou du code qui n'a pas été testé, cela peut compliquer considérablement la planification des corrections.
L'explication des vulnérabilités alimentée par l'IA permet de résumer la manière dont un attaquant peut exploiter la vulnérabilité et apporte des informations supplémentaires sur son impact et les mesures correctives possibles.
Par exemple, une vulnérabilité d'injection de commandes dans le système d'exploitation, comme illustrée dans l'extrait de code suivant :
<?php
// Read variable name from GET request
$name = $_GET['name'];
// Use the variable name to call eval and print its value
eval('echo $' . $name . ';');
Le rapport de vulnérabilité n'est pas assez détaillé et nécessite une compréhension complète du contexte et de l'impact. Sélectionnez le bouton Expliquer la vulnérabilité dans le coin supérieur droit. GitLab Duo Chat s'ouvre et suggère une action prédéfinie de prompt. Cette fonctionnalité vous fournit des informations supplémentaires sur la vulnérabilité, car elle décrit comment celle-ci peut être exploitée et corrigée.
Faire de l’explication des vulnérabilités une conversation contextuelle
Vous remarquerez également un changement au niveau de l'interface utilisateur : le volet d'explication des vulnérabilités a été remplacé par un workflow GitLab Duo Chat. Parfois, une vulnérabilité complexe nécessite d'être décomposée en plusieurs étapes d'atténuation ou passe par des chemins de code source peu clairs.
Vous pouvez explorer l'arborescence du code source et utiliser le même contexte de Chat pour expliquer, corriger, réusiner et tester le code.
Voyons comment fonctionne le workflow complet à l'aide d'un exemple en langage C, dans lequel le scanning de sécurité a détecté un débordement de tampon.
- Ouvrez la vue détaillée de la faille de sécurité et sélectionnez le bouton
Expliquer la vulnérabilitéen haut à droite. Le prompt de GitLab Duo Chat s'ouvre, fournit un résumé du problème et des vecteurs d'attaque potentiels, puis propose une solution.
- Passez en revue la correction proposée et demandez à GitLab Duo Chat de vous indiquer d'autres solutions, en utilisant le prompt
Pouvez-vous proposer une solution alternative en utilisant une fonction différente ?. L'idée est d'en apprendre davantage sur les fonctions alternatives àstrcpy()dont l'utilisation pourrait être plus sûre.
- GitLab Duo Chat propose une solution alternative qui utilise
strlcpy(), illustrée dans l'exemple suivant. Cette fonction ne copie que le nombre de caractères autorisé dans la chaîne cible et termine toujours la chaîne par « null ». Elle renvoie également la longueur de la chaîne source pour déterminer si celle-ci a été tronquée.
- Cliquez ensuite sur l'URL du fichier
Emplacementpour accéder à la vue du code source. Ouvrez à nouveau GitLab Duo Chat et vérifiez que le contexte d'explication de la vulnérabilité précédente est toujours présent. L'étape suivante consiste à ajouter des tests avant d'appliquer la correction proposée. Cette approche permet d'éviter de perturber des fonctionnalités ou d'introduire des régressions. Par exemple, utilisez le prompt suivant :En fonction du contexte de la vulnérabilité et du code source ouvert, comment ajouteriez-vous des tests pour cette vulnérabilité ?.
- Après avoir généré les tests (et en supposant qu'ils ont maintenant été ajoutés), vous pouvez également demander à GitLab Duo Chat de réusiner le code source, en utilisant le prompt
Pouvez-vous également réusiner le code source ?dans la même session.
Le workflow montre comment analyser, comprendre, atténuer, obtenir des approches alternatives, ajouter des tests et même réusiner les corrections de vulnérabilités.
Vous pouvez reprendre cette mesure corrective à l'aide de GitLab Duo Chat, puis basculer dans le Web IDE pour modifier le code source après avoir appris comment faire. Parmi les autres workflows continus, citons la validation des modifications et le déclenchement des pipelines CI/CD, ainsi que les scans de sécurité réalisés tout au long du cycle de développement DevSecOps.
Corriger les failles de sécurité avec la résolution des vulnérabilités assistées par l'IA
Pour comprendre et corriger une faille de sécurité, des compétences en développement sont toujours nécessaires pour créer un correctif, exécuter des pipelines et effectuer des scans de sécurité dans une merge request. Il peut également être nécessaire de déployer les corrections dans un environnement de staging et de les tester sur une période plus longue.
L'IA peut être utile dans cette situation, en proposant une correction en fonction du contexte et du code source fournis.
Astuce : pensez à la vulnérabilité la plus frustrante que vous avez dû corriger au cours de votre carrière et recréez-la pour vous familiariser avec GitLab Duo. La liste CWE de Mitre qui recense les 25 faiblesses logicielles les plus dangereuses peut être également un bon point de départ.
L'exemple suivant implémente la faille CWE-328 : Utilisation d'une fonction de hachage faible en utilisant md5. La faille est correctement identifiée par le test SAST.
import hashlib
class User:
def __init__(self, username, password):
self.username = username
self.password = password
def set_password(self, password):
self.password = hashlib.md5(password.encode()).hexdigest()
Cliquez sur le bouton en haut à droite Résoudre avec une merge request. Une merge request s'ouvre, dans laquelle une correction générée par l'IA est proposée. Dans le cas de cette vulnérabilité, une correction possible consisterait à utiliser une fonction de hachage différente.
Le fait de ne pas vérifier les codes d'erreur des fonctions ou les exceptions potentielles est un autre exemple de vulnérabilité courante. Les extraits de code en langage C suivants illustrent un exemple d'attaques par temporisation contre les opérations de fichiers en lien avec la faille CWE-362 pour les appels fopen() et chmod().
#include <stdio.h>
#include <string.h>
#include <sys/mman.h>
#include <sys/stat.h>
#include <unistd.h>
int main(int argc, char **argv) {##$_0A$####$_0A$## // File operations##$_0A$## char *fname = "gitlab.keksi";##$_0A$####$_0A$## FILE *fp;##$_0A$## fp = fopen(fname, "r");##$_0A$## fprintf(fp, "Hello from GitLab Duo Vulnerability Resolution Challenge");##$_0A$## fclose(fp);##$_0A$####$_0A$## // Potential chmod() timing attacks ##$_0A$####$_0A$## // Make the file world readable##$_0A$## chmod(fname, S_IRWXU|S_IRWXG|S_IRWXO);##$_0A$####$_0A$## return 0;##$_0A$##}
Le rapport SAST pour l'appel chmod() ressemblerait à ceci :
La merge request chmod() proposée inclut la gestion des erreurs et corrige un autre problème potentiel affectant les fichiers accessibles en écriture dans le monde entier, en modifiant les autorisations de 777 à 600.
Essayez l'exercice asynchrone suivant : recherchez, analysez et corrigez la vulnérabilité de la fonction
fopen().
Nécessité d'une prise en charge accrue de l'IA par GitLab Duo
Souvent, un problème de sécurité peut être temporairement résolu par une correction rapide ou une solution de contournement qui donne aux équipes de développement le temps nécessaire pour élaborer une solution plus durable. Dans d'autres situations, le problème peut devenir plus complexe et nécessiter la désactivation des API de fonctionnalités ou l'atténuation des règles du pare-feu jusqu'à ce qu'un correctif approprié puisse être déployé en production.
GitLab Duo offre des fonctionnalités avancées alimentées par l'IA capables de résoudre ces problèmes.
Explication du code : en tant que développeur ou ingénieur en sécurité, il est essentiel de comprendre les modifications apportées au code. Dans l'IDE, utilisez la fonctionnalité d'explication du code pour avoir une meilleure compréhension du correctif proposé par l'IA pour résoudre la vulnérabilité. Vous saurez exactement quels ajustements ont été réalisés et leurs justifications.
Analyse des causes profondes : si un correctif fait échouer votre pipeline, utilisez la fonctionnalité d'analyse des causes profondes. Cet outil identifie et explique le problème sous-jacent, ce qui vous donne les moyens de le résoudre efficacement. Après avoir appliqué les corrections nécessaires, vous pouvez relancer les tests pour vous assurer que le problème est résolu.
Réusinage : même après la correction d'une vulnérabilité, il est pertinent de se demander si le code peut être amélioré pour être plus sécurisé. Dans l'IDE, ouvrez GitLab Duo Chat et utilisez l'action de réusinage pour explorer d'autres moyens plus sûrs d'écrire votre code. Cette approche proactive permet de maintenir un code base robuste et sécurisé.
En tirant parti de ces fonctionnalités offertes par GitLab Duo, vous pouvez aborder et résoudre les failles de sécurité en toute confiance, en veillant à la sécurité et l'efficacité de votre code.
Et après ?
Nous prévoyons d'intégrer directement l'explication et la résolution des vulnérabilités en amont du cycle du développement logiciel, dans le processus de merge request. Cette intégration vous permettra de traiter et de résoudre les vulnérabilités plus tôt dans le cycle de développement, d'optimiser votre workflow et d'améliorer la sécurité du code dès le début du projet.
Lancez-vous dès maintenant avec GitLab Duo
Consultez notre documentation pour activer les fonctionnalités offertes par GitLab Duo. De plus, l'explication des vulnérabilités et la résolution des vulnérabilités de GitLab Duo seront bientôt disponibles dans GitLab Auto-géré et GitLab Dedicated.
Démarrez un essai gratuit de GitLab Duo pour profiter des avantages de la correction des vulnérabilités au sein de votre entreprise !
