Les équipes technologiques sont soumises à une pression intense : avec des ressources limitées, elles doivent redoubler d'efforts pour innover et générer davantage de valeur pour leurs clients. Et cela, sans négliger la sécurité de leur chaîne d'approvisionnement logicielle, un écosystème complexe, composé d'intégrations et d'extensions toujours plus nombreuses dans les environnements de développement modernes.
La situation est particulièrement difficile, car les ingénieurs en sécurité sont en sous-effectif. Un client m'a confié que sur 100 développeurs, on ne trouve aujourd'hui qu'un seul ingénieur sécurité. À cela s'ajoutent des budgets en baisse : selon le Rapport Global DevSecOps 2023 de GitLab : la sécurité sans sacrifices, 85 % des répondants déclarent que leur budget sécurité est stable ou réduit. Vous obtenez alors une dynamique où la rapidité et la facilité d'exécution l'emportent souvent sur la sécurité et la conformité.
Mais cette dynamique ne doit pas devenir la norme.
Nous défendons un principe simple : la vélocité, avec des garde-fous. L'intelligence artificielle et l'automatisation accélèrent la création de code et, lorsqu'elles sont associées à une plateforme DevSecOps complète, elles créent les garde-fous de sécurité et de conformité indispensables à toute entreprise. « La vélocité, avec des garde-fous » élimine le dilemme entre innovation logicielle rapide et développement logiciel sécurisé. Cette approche est toutefois uniquement possible dans un contexte où l'IA et l'automatisation dépassent la simple création de code. Notre rapport Global DevSecOps révèle en effet que 62 % des développeurs utilisent les technologies IA/ML pour vérifier leur code, tandis que 65 % les utilisent (ou prévoient de les utiliser au cours des trois prochaines années) pour leurs processus de tests.
Face aux contraintes de ressources, l'automatisation et l'intelligence artificielle s'imposent comme des ressources stratégiques. Notre plateforme DevSecOps permet de combler des lacunes critiques en appliquant automatiquement les stratégies et frameworks de conformité. Les équipes peuvent effectuer des tests de sécurité automatisés grâce aux fonctionnalités d'automatisation de GitLab et s'aider des recommandations assistées par l'IA pour la correction des vulnérabilités. Combiner le tout permet de libérer des ressources supplémentaires.
Nous avons introduit une multitude de nouvelles fonctionnalités pour donner vie à cette approche. En voici un aperçu.
Vélocité accrue grâce aux suggestions de code
Chaque jour, des millions de développeurs utilisent la plateforme GitLab pour écrire du code, collaborer et livrer des logiciels. En février 2023, nous avons lancé la version bêta de notre fonctionnalité de suggestions de code, et depuis lors, les suggestions de code sont accessibles à un plus grand nombre de développeurs et pour tous les clients Ultimate et Premium. Intégrées directement à la plateforme DevSecOps de GitLab, cette fonctionnalité améliore la productivité, favorise la concentration et stimule l'innovation, le tout sans changement de contexte ni outils supplémentaires.
Mais elle n'est qu'un premier pas : notre ambition est d'intégrer des technologies d'IA et de machine learning (ML) à chaque étape du cycle de développement logiciel. Au-delà des suggestions de code ou de la suggestion de relecteurs, nous dévoilons des aperçus de ces fonctionnalités alimentées par les technologies IA/ML sur notre blog tous les jeudis, dans le cadre de notre série hebdomadaire.
Recommandations de correction des vulnérabilités assistées par l'IA
Selon notre Rapport Global DevSecOps, les équipes de sécurité qui n'utilisent pas de plateforme DevSecOps peinent souvent à identifier les personnes capables de corriger les vulnérabilités, et comprendre en profondeur les problèmes de sécurité détectés. Pour y remédier, nous avons publié une fonctionnalité expérimentale dans GitLab, tirant parti du pouvoir explicatif des grands modèles de langage (LLM). Son objectif : fournir des recommandations assistées par l'IA et contextualisées sur les vulnérabilités. Elle combine les informations classiques sur les vulnérabilités issues des scanners de sécurité avec une analyse du code du client pour expliquer la vulnérabilité dans son contexte, illustrer la façon dont elle pourrait être exploitée et proposer un exemple de correction. Les premiers tests montrent des résultats très prometteurs en termes de réduction du temps nécessaire pour identifier une correction adaptée à une vulnérabilité.
Il ne s'agit que de l'une des nombreuses fonctionnalités expérimentales assistées par l'IA mises en avant au cours des derniers mois pour améliorer la productivité des développeurs et l'efficacité de la livraison de logiciels.
Meilleure visibilité avec le tableau de bord des flux de valeur
Dans un contexte d'accélération de la productivité grâce aux capacités d'IA, la visibilité et la transparence sont plus essentielles que jamais. Notre nouveau tableau de bord des flux de valeur offre une vue d'ensemble stratégique des indicateurs clés qui aident les décideurs à identifier les tendances et les leviers pour optimiser la livraison de logiciels. Basé sur les métriques DORA4 et sur l'analyse des flux de valeur entre les projets et les groupes, ce tableau de bord offre une visibilité complète à chaque étape du cycle de développement logiciel, sans qu'il ne soit nécessaire d'acheter ou de gérer un outil tiers. Résultat : moins d'outils, une visibilité accrue et plus de transparence, le tout directement dans GitLab.
Conformité des licences logicielles, stratégies et automatisation
L'utilisation de logiciels sous une licence incompatible constitue une violation de conformité et peut entraîner un procès coûteux ou une intervention chronophage pour parvenir à supprimer le code concerné. Notre nouveau scanner de conformité des licences, accompagné de ses politiques d'approbation des licences Le nouveau scanner extrait les informations de licence des paquets qui comprennent une double licence ou plusieurs licences applicables. Il peut analyser et identifier automatiquement plus de 500 types de licences différents, ce qui représente une augmentation importante par rapport à sa capacité d'identification précédente (20 types de licences). Les politiques d'approbation des licences réduisent le risque d'utilisation de licences non approuvées, évitant ainsi aux entreprises de devoir effectuer une vérification manuelle et chronophage de la conformité.
Protection proactive contre la divulgation des secrets
Les vagues d'attaques qui exposent la divulgation de jetons d'accès personnels (PAT) dans le code source représentent une menace récurrente. Toutefois, la détection des secrets de GitLab peut vous protéger contre ce type d'attaques. GitLab détecte ces secrets et révoque automatiquement les PAT exposés dans les dépôts publics, limitant ainsi le risque qu'un développeur valide par erreur un PAT dans son code. Cette fonctionnalité renforce la protection des utilisateurs et de leur entreprise contre la divulgation de leurs identifiants de connexion, tout en réduisant les risques que des failles de sécurité atteignent les applications dans l'environnement de production.
Nous ne nous contentons pas de corriger les identifiants gérés par GitLab. Il est désormais possible d'intervenir en cas de secrets divulgués dans des projets publics en révoquant les identifiants de connexion ou en informant le fournisseur qui les a émis. Nous développons activement la liste des fournisseurs pris en charge, à laquelle tout fournisseur SaaS peut adhérer pour nous aider à sécuriser tous les types de secrets utilisés par les développeurs.
Automatisation de vos stratégies de sécurité
Gérer manuellement les stratégies de sécurité sur de multiples projets est chronophage et source d’erreurs. L'automatisation de ces stratégies permet de garantir le respect des règles de sécurité, en empêchant leur contournement sans l'approbation appropriée. Les équipes de sécurité peuvent configurer des règles de stratégie : par exemple, exiger plusieurs approbateurs issus de différentes équipes (équipe QA, commerciale, juridique, ou autre), un processus d'approbation en deux étapes ou encore l'approbation des exceptions pour l'utilisation de licences non conformes à la stratégie définie. Elles peuvent être appliquées à plusieurs projets de développement, au niveau du groupe ou du sous-groupe, afin de faciliter la gestion d'un dépôt de règles unique et centralisé.
Réduction des faux positifs dans les tests de sécurité
Selon l'enquête Global DevSecOps 2023 de GitLab, les professionnels de la sécurité considèrent qu'un trop grand nombre de faux positifs comme l'une des trois grandes sources de frustration auxquels ils font face. Pour répondre à ce problème, GitLab a amélioré la précision de son outil DAST pour la sécurité des API. Cette nouvelle version est désormais plus précise et réduit les faux positifs d'environ 78 %, ce qui permet aux équipes DevSecOps de se concentrer sur les menaces de sécurité réelles.
De plus, l'ajout des raisons de rejet des vulnérabilités facilite le suivi de la conformité et la création de rapport d'audit en identifiant clairement les motifs associés à la résolution des vulnérabilités.
De nombreuses nouvelles fonctionnalités viennent enrichir la plateforme GitLab pour permettre à nos clients de bénéficier d'une plus grande vélocité, avec des garde-fous. Découvrez dans cette vidéo de 90 secondes comment GitLab sécurise l'ensemble de votre chaîne d'approvisionnement logicielle.
Plus de vélocité, plus de garde-fous : la prochaine étape !
GitLab a prévu une roadmap ambitieuse afin de faciliter l'intégration de la sécurité dans le cycle de développement logiciel. Objectif ? Permettre aux clients de livrer du code sécurisé plus facilement et plus efficacement. Ces nouvelles fonctionnalités incluent :
- Des listes de dépendances au niveau des groupes et sous-groupes : elles offrent aux utilisateurs un moyen simple de visualiser les dépendances au niveau du projet, ce qui peut s'avérer complexe pour les entreprises qui gèrent des centaines de projets.
- L'analyse continue des dépendances et des conteneurs : elle améliore la visibilité et la rapidité de détection des vulnérabilités en lançant automatiquement une nouvelle analyse chaque fois qu'un nouvel avis de sécurité est publié ou que le code est modifié.
- Les outils de gestion des frameworks de conformité : ils permettent aux clients d'appliquer des frameworks de conformité à plusieurs projets à la fois, et non plus projet par projet.
- L'ingestion d'une nomenclature logicielle (SBOM) : GitLab pourra importer des fichiers CycloneDX à partir d'outils tiers pour créer une source unique pour toutes les dépendances, offrant ainsi une plus grande visibilité à l'échelle du système et la génération d'informations exploitables.
Découvrez comment augmenter la vélocité en toute sécurité avec les principes Secure by Design.
Prochaines étapes
La sécurité des applications à l'ère du numérique
Lisez les conclusions de notre enquête menée auprès de plus de 5 000 professionnels DevSecOps dans le monde entier afin de comprendre pourquoi les entreprises sont confrontées à l'augmentation des surfaces d'attaque et à l'évolution des comportements à l'égard de la sécurité et de l'IA.
Lire le rapportLisez les conclusions de notre enquête menée auprès de plus de 5 000 professionnels DevSecOps dans le monde entier afin de comprendre pourquoi les entreprises sont confrontées à l'augmentation des surfaces d'attaque et à l'évolution des comportements à l'égard de la sécurité et de l'IA.
FAQ
Principaux points à retenir
- Les équipes technologiques doivent composer avec des ressources limitées et des défis de sécurité croissants, aggravés par des budgets restreints et une pénurie d'ingénieurs sécurité.
- La plateforme DevSecOps de GitLab tire parti de l'IA et de l'automatisation pour renforcer la sécurité, rationaliser la conformité réglementaire et accroître la productivité des développeurs, sans compromettre la rapidité.
- Le tableau de bord des flux de valeur offre une vue d'ensemble stratégique des indicateurs clés qui aident les décideurs à identifier les tendances et les leviers afin d'optimiser la livraison de logiciels.