L’utilisation accrue des bibliothèques open source permet d’économiser du temps aux développeurs et de réduire les délais de mise sur le marché. Cependant, si l’on en croit une étude récente des applications Java, 88% de ces dernières présentaient au moins un composant vulnérable, notamment open source. « Dans certains cas, les vulnérabilités causant des violations sont bien connues et documentées. Mais dans d’autres cas, elles ne sont pas incluses dans la base de données nationale américaine qui recense les vulnérabilités (National Vulnerability Database ou NVD). Et avec le nombre croissant de bibliothèques open source, il peut être difficile pour les entreprises de savoir quel composant et quelle version sont sécurisés », explique CA Technologies dans un communiqué.
Pour résoudre ce problème, l’éditeur vient de faire l’acquisition de SourceClear, un spécialiste de l’analyse de la composition logicielle (ou SCA, software composition analysis). Les conditions financières de l’opération ne sont pas dévoilées. Fondée en 2013 par Mark Curphey, le créateur d’OWASP (Open Web Application Security Project), SourceClear est une startup basée à San Francisco. Elle propose un outil d’analyse de composition logicielle en mode SaaS, qui s’appuie sur une base de données de vulnérabilités propriétaire allant au-delà de la NVD, et d’une technologie d’évaluation des vulnérabilités destinée à augmenter la capacité d’action des solutions de SCA.
« Avec l’acquisition de SourceClear, nous combinons la sécurité, la productivité et l’efficacité, lorsque les entreprises utilisent et testent les bibliothèques open source, sans ralentir, ni compromettre la sécurité du code », assure dans un communiqué Sam King, senior vice-président et directeur général de Veracode, la division de CA Technologies spécialisée dans le DevSecOps. « Nous prévoyons d’intégrer complètement la technologie SourceClear dans la plateforme cloud Veracode. Cette acquisition signifie que nos clients pourront prendre en charge de façon accrue le SCA dans les environnements DevSecOps et pourront utiliser en toute confiance des composants open source sans risque inutile. »