Aujourd'hui, Aikido Root. 🚀
L'open source est à la base de presque toutes les applications dans le monde, et il est devenu la principale porte d'entrée pour les pirates. La chaîne d'approvisionnement logicielle est dans la ligne de mire. (blablabla, mème avec un chat se réveillant face à une nouvelle attaque visant la chaîne d'approvisionnement)
Les pirates agissent eux aussi de plus en plus vite. Grâce à l’IA, il est désormais moins coûteux d’exploiter des vulnérabilités connues avant même que la plupart des équipes n’aient eu le temps d’y apporter des correctifs. Près d’un tiers des vulnérabilités connues sont exploitées le jour même de leur divulgation, voire avant. Parallèlement, notre « vieille connaissance » Log4Shell, découverte en 2021, est encore présente aujourd’hui dans des millions de systèmes en production.
Mais la plupart des équipes se retrouvent obligées de choisir entre trois options qui ne fonctionnent pas :
- Effectuer une mise à jour au risque de perturber la production
- Passer à un produit de remplacement verrouillé par le fournisseur
- Continuer à utiliser des logiciels vulnérables
En réalité, la mise à niveau n'est pas une mince affaire (quelle surprise !). Une mise à jour des dépendances peut perturber l'environnement de production, entraîner des dizaines de modifications sans rapport avec le sujet, dépendre de versions qui n'existent pas encore, voire introduire de nouvelles vulnérabilités. Même lorsque tout se passe bien, les mises à niveau mobilisent plusieurs semaines de travail des ingénieurs.
Le fait est que les logiciels libres ont besoin de correctifs, et ce, rapidement.
Root relève ce défi lié à la chaîne d'approvisionnement grâce à une approche « native » des agents. Au lieu de se contenter d'agents qui se limitent à détecter les vulnérabilités, l'entreprise a mis au point un système de type « usine » dans lequel les agents génèrent, à la vitesse de l'ordinateur, des correctifs CVE précis pour les versions des paquets réellement utilisées par les équipes.
Le résultat ? Des centaines de correctifs CVE vérifiés générés chaque jour.
Et – tenez-vous bien – ceux-ci n'entraînent pas de changements incompatibles.
« Le secteur en est toujours au stade du triage : on se retrouve face à une liste gigantesque de CVE et on se dispute pour savoir lesquels corriger en premier. Ou pire encore, on demande aux équipes de jeter leurs images et de repartir de zéro avec celles de quelqu’un d’autre », explique Ian Riopel, cofondateur et PDG de Root. « Nous avons créé Root pour éviter ces débats et simplement corriger le problème sur place. C’est un choix entre les jardins clos et un véritable soutien à l’open source. Nous avons choisi l’open source. »
Nous intégrons désormais cette capacité à Aikido.
Nous lançons Aikido et Aikido : des bibliothèques et des images de conteneurs prêtes à l'emploi, sans vulnérabilité, qui corrigent les logiciels déjà utilisés par les équipes, sans migration et, surtout, sans modifications incompatibles.
Ils sont déjà en production et disponibles pour tous Aikido (jetez un œil au catalogue d'images ici )
Lorsqu'une nouvelle vulnérabilité CVE est identifiée, nous générons le correctif adapté à votre système, pour votre version exacte. Vous bénéficiez ainsi d'une protection continue.
Et non, « des correctifs privés pour l'open source » n'est pas le titre.
Les correctifs critiques destinés aux vulnérabilités activement exploitées continueront d’être partagés avec la communauté, en amont à travers tous les écosystèmes, sans être confinés derrière un mur payant. Si nous voulons résoudre sécurité de la chaîne d’approvisionnement logicielle, c’est l’écosystème tout entier qui doit gagner en sécurité, et pas seulement nos clients.
« Les responsables de projets open source croulent sous la charge de travail liée à la sécurité tout en s'efforçant de maintenir en état de fonctionnement les projets dont dépend le monde entier », explique Adrian Estrada, directeur technique de NodeSource, membre du conseil d'administration d'OpenJS et contributeur principal de Node.js. «Aikido Root nous soulagent d'une partie de cette charge en rétroportant les correctifs et en les transmettant en amont. »
Bienvenue chez Aikido, Root. Et un chaleureux accueil aux cofondateurs de Root, Ian, John, Benji et Mickey, ainsi qu'au reste de l'équipe Root !
La mission ? Inciter les développeurs à se remettre à créer.
xo Madeline, Aikido
{{cta}}
