TL;DR Nous nous sommes associés à TuxCare afin que vous puissiez corriger instantanément les vulnérabilités des dépendances héritées, sans réécritures ni mises à niveau risquées. Restez sécurisé, conforme et continuez à développer sans compromis. Lisez la suite pour le lancement complet, ou consultez notre documentation pour en savoir plus.
À mesure que les équipes d'ingénierie se développent, la gestion des vulnérabilités dans les bibliothèques tierces devient l'un des plus grands obstacles à une livraison sûre et rapide. Lorsque les packages open-source populaires atteignent leur fin de vie (EOL), les équipes de sécurité et de développement se retrouvent souvent en désaccord : les équipes de sécurité insistent pour des mises à niveau immédiates afin de résoudre les CVE, tandis que les développeurs sont confrontés à des changements majeurs qui peuvent ralentir la livraison pendant des semaines, voire des mois.
La mise à niveau des dépendances principales ne se limite pas à de simples mises à jour de version ; elle peut impliquer des refactorisations profondes, des réécritures d'applications et des tests approfondis. Pour de nombreuses organisations, ce compromis entre sécurité et vélocité crée un blocage opérationnel.
La puissance du partenariat entre Aikido et TuxCare
Pour résoudre ce problème, Aikido et TuxCare ont uni leurs forces pour offrir un support étendu de cycle de vie (ELS) directement via l'Autofix d'Aikido. Ce partenariat combine les workflows de remédiation automatique d'Aikido avec l'expertise de TuxCare dans la fourniture de packages renforcés et continuellement patchés pour les bibliothèques EOL.
TuxCare a déjà résolu plus de 5 000 CVE dans les logiciels open-source, ce qui en fait un partenaire de confiance pour la sécurité post-EOL. En intégrant les packages ELS directement dans Autofix, Aikido aide les équipes à sécuriser les dépendances héritées et à progresser sans changements de version majeurs ou réécritures perturbatrices.
.png)
Fonctionnement
Lorsque Aikido analyse votre application, il identifie les dépendances obsolètes et met en évidence les vulnérabilités connues. Au lieu de vous demander de passer à la dernière version majeure (et potentiellement incompatible), Aikido suggère désormais un package ELS sécurisé maintenu par TuxCare.
Ces packages ELS sont des substituts directs. Par exemple, les équipes utilisant la version 1 non maintenue de SnakeYAML peuvent passer à 1.33.tuxcare.1 pour corriger les CVE critiques sans migrer vers la version 2.x. Le même principe s'applique à d'autres packages largement utilisés comme log4j 1.x, qui n'est plus maintenu depuis 2015 mais reste courant dans les bases de code d'entreprise.
Aikido Autofix génère une pull request prête à être mergée qui met à jour votre dépendance vers la version ELS et inclut toute configuration de dépôt nécessaire. Les équipes peuvent résoudre les problèmes de sécurité immédiatement, sans introduire d'instabilité ni retarder le développement de fonctionnalités.
.png)
Éliminer les frictions entre les équipes de sécurité et de développement
Combler le fossé entre la sécurité et le développement nécessite des solutions qui respectent les deux priorités : une posture de sécurité robuste et la livraison continue. L'approche intégrée d'Aikido et de TuxCare permet aux équipes de :
- Éviter les mises à niveau perturbatrices : Sécuriser les dépendances sans refactorisations majeures ni changements cassants.
- Accélérer la résolution des CVE : Corriger les vulnérabilités en quelques jours au lieu de semaines ou de mois.
- Maintenir la conformité : Gérer les risques liés aux packages en fin de vie (EOL) pour satisfaire aux exigences réglementaires et réussir les audits.
- Réduire la charge de travail d'ingénierie : Libérer la capacité de l'équipe pour se concentrer sur les améliorations du produit, plutôt que de gérer en urgence les mises à jour de dépendances.
Exemple de cas d'usage : Sécuriser les projets Java avec ELS
Dans un projet Java typique, la mise à jour d'une dépendance critique comme SnakeYAML ou log4j vers une nouvelle version majeure peut prendre des semaines de temps d'ingénierie, des tests approfondis et des déploiements en production risqués.
Avec ELS, les équipes peuvent adopter une version renforcée (par exemple, log4j 1.2.17.tuxcare.1) qui corrige les CVE connues, le tout sans modifier la logique applicative. Cela signifie que les problèmes de sécurité sont résolus plus rapidement, l'effort d'ingénierie est minimisé et les livraisons restent dans les délais.
L'avenir du code hérité sécurisé
Chez Aikido, nous pensons que les développeurs ne devraient pas avoir à choisir entre vitesse et sécurité. Notre partenariat avec TuxCare est un grand pas en avant pour rendre la sécurité post-EOL pratique et évolutive, afin que vous puissiez rester concentré sur le développement.
Ce n'est que le début. Le support ELS est actuellement disponible pour Java, avec d'autres langages comme JavaScript, Python, .NET, PHP et Ruby à venir prochainement.
Découvrez comment Aikido et TuxCare peuvent vous aider à sécuriser votre code hérité sans ralentir votre feuille de route. Commencez ici →
Sécurisez votre logiciel dès maintenant.
