Bienvenue sur notre blog.

Lorsqu'il s'agit de décider de l'approche à adopter en matière d'outils de sécurité, il semble que deux choix s'offrent à nous.

1. Vendez votre rein gauche et achetez la solution d'entreprise dont le nom figure sur le flanc d'une voiture de Formule 1.

2. Choisissez l'outil gratuit à code source ouvert qui élimine plus de faux positifs qu'une application de rencontres lors d'un vendredi soir solitaire.

Comme pour tout ce qui touche à la sécurité, il y a beaucoup à découvrir en réalité. Dans cet article, je souhaite examiner dans quelles circonstances il convient d'utiliser des outils de sécurité open-source, quand les outils commerciaux sont plus efficaces et si nous pouvons faire confiance aux outils construits à partir d'un noyau open-source.

Construire ou acheter (le piège du coût des logiciels libres)

Au fur et à mesure que votre entreprise grandit, vous vous rendrez compte que le choix entre open-source et commercial est plus un choix entre la construction d'outils ou l'achat d'outils. Les logiciels libres constituent un excellent point de départ, mais il leur manque de nombreuses fonctionnalités dont vous avez besoin : tableaux de bord, intégrations, rapports de conformité, flux de travail de remédiation, filtrage des faux positifs et hiérarchisation des vulnérabilités, pour n'en citer que quelques-unes. L'idée que les logiciels libres sont gratuits n'est donc tout simplement pas vraie. Cela peut toutefois être un avantage, car en construisant au fur et à mesure, vous réduisez l'investissement initial et vous pouvez vous concentrer sur les fonctionnalités qui sont importantes pour vous. Cela signifie que vous ne dépendez pas d'un fournisseur pour obtenir la fonctionnalité qu'il a "promis" d'offrir au troisième trimestre il y a deux ans.

Il y a beaucoup d'inconvénients à prendre en compte lorsqu'il s'agit de construire à partir d'outils open-source. Tout d'abord, non seulement il faudra beaucoup de temps de développement pour mettre au point ces outils, mais il faudra aussi en assurer la maintenance en permanence. Les outils de sécurité peuvent également bloquer la production lorsqu'ils sont intégrés dans des éléments tels que les pipelines CI/CD par exemple. Cela signifie que lorsqu'ils tombent en panne ou se bloquent, ils peuvent entraîner des pertes de productivité sans aucun support pour vous aider à revenir en ligne.

Qu'en est-il alors de l'option d'achat ? Tout d'abord, il n'y a pas de période de montée en puissance, vous bénéficiez d'une couverture complète dès le début, ce qui réduit la dette de sécurité par la suite. Vous ne perdez pas non plus le coût d'opportunité lié à l'éloignement des équipes d'ingénieurs de vos objectifs principaux pour se concentrer sur la création de fonctionnalités pour des outils internes. Dans le monde rapide des startups, ne sous-estimez pas la valeur de cette approche.

Logiciel libre ou logiciel commercial

Les outils commerciaux sont-ils plus performants en matière de découverte de vulnérabilités ?

Jusqu'à présent, nous avons parlé de toutes les caractéristiques de l'outil sans même poser l'une des questions les plus importantes. Qu'est-ce qui permet de trouver le plus de vulnérabilités ? D'une manière générale, les fonctionnalités de base des outils open-source sont souvent équivalentes à celles de leurs homologues commerciaux en ce qui concerne leur capacité à trouver des vulnérabilités. Les outils commerciaux se distinguent toutefois par leur capacité à filtrer les faux positifs et à hiérarchiser leurs résultats.

Il s'agit très souvent d'outils commerciaux construits sur des projets open-source. Prenons l'exemple de Zen by Aikido, un pare-feu intégré complet conçu pour arrêter les menaces au moment de l'exécution. Est-il meilleur pour détecter les menaces au moment de l'exécution et les arrêter qu'un équivalent open-source ? Pas vraiment, car il est basé sur un projet open-source, AikidoZen. La valeur de la version entreprise réside dans ses fonctionnalités supplémentaires telles que l'analyse, la création de règles, la compréhension approfondie de vos menaces spécifiques et la facilité de déploiement, toutes choses que vous devriez construire vous-même si vous utilisiez la version open-source dans une entreprise. Le logiciel libre n'est donc pas nécessairement plus mauvais, il lui manque simplement l'étape suivante du triage.

Remarque : l'évaluation comparative des outils par rapport aux vulnérabilités détectées peut également s'avérer très délicate. Un excellent outil de sécurité peut trouver moins de vulnérabilités parce qu'il est plus apte à éliminer les faux positifs en fonction du contexte. Par conséquent, le meilleur outil n'est pas toujours celui qui trouve le plus de vulnérabilités ; le plus souvent, c'est l'inverse.

Développé à partir de logiciels libres conçus pour les entreprises

L'open-source représente trop de développement et le commercial est trop cher, pourquoi pas un juste milieu? Les outils complets qui utilisent l'open-source à la base ne sont pas un nouveau concept. Certains des produits de sécurité les plus performants au monde sont basés sur des logiciels libres, comme Hashicorp Vault, Elastic Security et Metaploit, pour n'en citer que quelques-uns. Il y a de nombreuses raisons pour lesquelles ces outils fonctionnent si bien et ce n'est probablement pas pour les raisons que vous pensez.

Rapport coût-efficacité

Les outils à code source ouvert ne doivent pas seulement rivaliser avec les outils commerciaux alternatifs, ils doivent aussi rivaliser avec leur base à code source ouvert. Cela signifie que leur valeur doit être prouvée et transparente, ce qui se traduit souvent par une offre plus rentable.

Le pouvoir de la communauté

Souvent, les outils open-source sont maintenus et construits par des sociétés commerciales, comme Aikido Zen. Les outils basés sur des logiciels libres ne le sont pas seulement pour réduire le temps de développement, mais aussi parce que les fondateurs croient fondamentalement au pouvoir des logiciels libres. Les outils open-source sont souvent plus rapides à développer des fonctionnalités parce qu'ils sont soutenus par une communauté, ce qui signifie également que si vous avez un problème spécifique et de niche, vous pouvez l'introduire vous-même dans l'outil.

Transparence

Souvent, l'achat d'outils commerciaux est un peu comme l'achat d'une voiture sans en voir le moteur. Quelle est sa qualité et sa fiabilité à long terme ? Il est plus facile de dissimuler les faiblesses d'un outil lorsque personne ne peut en voir le moteur. Les outils à code source ouvert ne peuvent pas cacher leur moteur, il est donc plus facile d'avoir confiance dans l'outil lui-même.

Caractéristiques commerciales

Comme nous l'avons déjà dit, un outil à code source ouvert étant souvent en concurrence avec des outils commerciaux et des outils à code source ouvert, il doit être fier de ses fonctionnalités supplémentaires. Il s'agit de tout ce que vous attendez d'un outil commercial, mais souvent bien plus. Comme le produit bénéficie d'une base open-source bien définie, l'attention peut être portée sur les améliorations qui sont finalement répercutées sur l'utilisateur final.

Alors, que choisir (réflexions finales)

Nous avons discuté des avantages des outils de sécurité à code source ouvert, des outils commerciaux et des outils à code source ouvert. Je pense qu'il est clair, d'après mon ton, qu'en tant qu'auteur, j'aime la communauté open-source et je pense que les outils à code source ouvert sont un compromis sur le prix sans compromis sur les fonctionnalités. Il est bien sûr idiot de dire qu'il n'y a aucune raison pour que, dans certains scénarios, une version purement commerciale soit meilleure. Il existe d'excellentes solutions innovantes qui sont entièrement fermées. Mais ce que je veux dire en définitive, c'est que ce n'est pas parce qu'un produit est basé sur un projet à code source ouvert qu'il fera des compromis en termes de capacités ou de fonctionnalités. Et parce qu'il doit prouver sa valeur en toute transparence, il offre souvent des fonctionnalités et une valeur plus importantes.

Aikido Security a été créé par des développeurs pour des développeurs afin de faciliter la mise en œuvre de la sécurité. Nous sommes fiers de notre héritage open-source et nous serions ravis que vous veniez le voir en action par vous-même.

Démarrer avec Aikido Security gratuitement

L'injection SQL (SQLi) a une histoire plus ancienne qu'Internet Explorer (qui, selon la génération Z, a marqué le début de la civilisation). Il y a eu des milliers de violations causées par l'injection SQL et une quantité infinie de meilleures pratiques et d'outils bien documentés pour aider à la prévenir. Il est donc certain que nous avons tiré les leçons de ces violations et que l'injection SQL n'est plus un problème.

Nous avons surveillé le nombre d'injections SQL découvertes dans des projets open-source et closed-source pour voir si nous nous améliorons. Avec l'annonce récente que les données volées dans le cadre de l'injection SQL de MOVEit sont vendues à des entreprises telles qu'Amazon, nous avons décidé de vous donner un aperçu de notre futur rapport sur l'état des injections pour l'année 2025.

Spoiler, il s'avère que nous sommes toujours aussi mauvais dans la prévention des injections SQL.

Qu'est-ce que l'injection SQL ?

SQLi est une vulnérabilité qui se produit lorsqu'un programme utilise une entrée utilisateur non fiable directement dans une requête vers une base de données SQL. Un utilisateur malveillant peut alors insérer son propre code et manipuler la requête, ce qui lui permet d'accéder à des données privées, de contourner l'authentification ou de supprimer des données. L'exemple ci-dessous montre comment une requête SQL non sécurisée pour une page de connexion utilisateur est vulnérable à une attaque par contournement de l'authentification SQLi.

Il existe de nombreux types d'attaques par injection, comme l'injection de code ou le cross-site scripting (XSS). Mais SQLi joue depuis longtemps un rôle prépondérant dans les brèches et il est choquant de constater qu'il faut encore en parler en 2024.

Comment se produit une attaque SQLi

1. Requête vulnérable
Exemple de requête vulnérable où l'entrée de l'utilisateur est directement utilisée dans la requête

2. Attaque par injection SQL
SQL est injecté dans le champ de saisie de l'utilisateur d'une page d'authentification.

3. Requête exécutée avec payloadPayloadcommente la vérification du mot de passe, de sorte que la requête ignore cette étape.

L'injection SQL en chiffres :

• 6,7 % de toutes les vulnérabilités trouvées dans les projets open-source sont des failles SQLi
• 10% pour les projets à code source fermé !
• Une augmentation du nombre total d'injections SQL dans les projets open-source (CVE's qui impliquent SQLi) de 2264 (2023 ) à 2400 (2024) est attendue.
• En pourcentage de toutes les vulnérabilités, l'injection SQL devient moins populaire : une diminution de 14% et 17% pour les projets open-source et closed-source respectivement de 2023 à 2024.
• Plus de 20 % des projets à code source fermé analysés sont vulnérables à l'injection SQL lorsqu'ils commencent à utiliser des outils de sécurité.
• Pour les organisations vulnérables aux injections SQL, le nombre moyen de sites d'injection SQL s'élève à près de 30 emplacements distincts dans le code.

Nous avons examiné le nombre de vulnérabilités SQLi découvertes dans des paquets open-source en 2023 et jusqu'à présent en 2024. Nous avons ensuite comparé ces chiffres aux projets à code source fermé qui ont été découverts par Aikido Security. Sans surprise, nous constatons toujours un nombre choquant d'injections SQL dans les projets fermés et open-source. 6,7 % de toutes les vulnérabilités découvertes dans les projets open-source en 2024 sont des vulnérabilités par injection SQL, tandis que 10 % des vulnérabilités découvertes dans les projets fermés sont des vulnérabilités par injection SQL. Cela peut sembler peu, mais il est franchement choquant qu'en 2024, nous ayons encore du mal à faire face à certaines des vulnérabilités les plus élémentaires que nous connaissions.

La seule bonne nouvelle est que ce chiffre représente une baisse de 14 % par rapport à 2023 dans les projets open-source et une réduction de 17 % dans les projets closed-source en pourcentage de toutes les vulnérabilités trouvées. Cependant, le nombre total de SQLi trouvés devrait augmenter de 2264 en 2023 à plus de 2400 à la fin de 2024 dans les projets open-source.

Prévention de l'injection SQL

Apparemment, il n'y a pas encore assez d'informations sur Internet sur la manière de prévenir les injections SQL. Voici donc un aperçu des options disponibles en 2025 :

1. Utiliser des instructions préparées et des requêtes paramétrées

Dans l'exemple présenté au début de ce billet, nous avons montré un code vulnérable parce qu'il prend une entrée utilisateur non fiable et l'utilise directement dans une requête. Pour éviter cela, nous devons utiliser des instructions préparées, ce qui signifie que vous devez d'abord définir votre requête, puis ajouter l'entrée de l'utilisateur plus tard. Cela permet de séparer le flux de commandes et de données, ce qui résout complètement le problème. Une excellente solution, mais qui n'est pas toujours possible ou utilisée !

import sqlite3
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
user_id = 5 # Exemple d'entrée sécurisée
# Requête sécurisée utilisant une requête paramétrée

cursor.execute("SELECT * FROM users WHERE id = ?", (user_id))

2. Validation des entrées/schémas côté serveur

La validation des entrées peut s'avérer efficace pour prévenir les attaques de type SQLi. Par exemple, si votre API attend une adresse électronique ou un numéro de carte de crédit, il est facile d'ajouter une validation pour ces cas.

3. Utiliser les outils SAST et DAST pour découvrir SQLi

L'un des éléments les plus terrifiants de SQLi est qu'il est facilement découvert par les adversaires, souvent décrit comme une vulnérabilité à portée de main. Cela s'explique en partie par le fait que des outils tels que DAST peuvent les découvrir automatiquement. Cela peut être utilisé à notre avantage et nous pouvons introduire ces outils dans notre processus de développement pour les détecter rapidement.

Les outils SAST de nouvelle génération tels qu'Aikido vous permettent également de résoudre automatiquement les problèmes à partir de la plateforme.

4. Mettre en place un pare-feu intégré à l'application

Un pare-feu in-app surveille le trafic et l'activité à l'intérieur de votre application et peut détecter les attaques, y compris l'injection et SQLi. Il est plus efficace qu'un WAF traditionnel car il se trouve à l'intérieur de votre application et est capable d'identifier les requêtes attendues et de bloquer les requêtes qui modifient la structure de commande de la requête.

Plug sans vergogne ;) pour le nouveau lancement d'Aikido: ZenZen, le pare-feu in-app pour une tranquillité d'esprit au moment de l'exécution. Obtenez Zen et il bloquera automatiquement les attaques par injection critiques et les menaces de type "zero-day" en temps réel, avant qu'elles n'atteignent votre base de données.

5. Éviter le SQL dynamique dans la mesure du possible

La génération dynamique de code SQL par concaténation de chaînes est très vulnérable aux injections SQL. Dans la mesure du possible, il convient de s'en tenir à des requêtes statiques et prédéfinies et à des procédures stockées qui ne s'appuient pas sur un contenu généré par l'utilisateur pour la structure SQL.

6. Autoriser l'inscription et l'échappement

Dans certains cas, vous ne pouvez pas éviter Dynamic SQL, par exemple lorsque vous interrogez des tables dynamiques ou lorsque vous souhaitez classer les données en fonction d'une colonne et d'une direction définies par l'utilisateur. Dans ces cas-là, vous n'avez pas d'autre choix que de vous fier à la liste d'autorisations des expressions régulières ou à l'échappement. L'échappement consiste à prendre les données de l'utilisateur qui contiennent des caractères dangereux utilisés dans le code, comme '>', et à les transformer en une forme sûre. Soit en ajoutant des barres obliques inverses avant les caractères, soit en les transformant en un code de symboles. Notez que cela diffère non seulement pour chaque type de base de données, mais peut également dépendre des paramètres de connexion tels que le jeu de caractères.

Verrons-nous un jour la fin de SQLi ?

Bien que le fait que nous ayons constaté une diminution significative du nombre de vulnérabilités SQLi soit prometteur, il est toujours décourageant de voir qu'une vulnérabilité antérieure au jeu DOOM constitue toujours une menace aussi importante. En vérité, je ne vois pas comment la situation pourrait s'améliorer. Alors que nous introduisons de plus en plus d'outils pour nous aider à coder plus rapidement, les développeurs sont de moins en moins en contact avec les principes de base du codage et ces outils d'IA sont notoirement mauvais pour suggérer des codes vulnérables, y compris des vulnérabilités d'injection.

Nous constatons des améliorations significatives dans une nouvelle génération d'outils SAST qui sont beaucoup plus efficaces pour découvrir et corriger ces vulnérabilités et qui ont la capacité de changer radicalement le paysage des menaces.

En signant pour l'instant, n'oubliez pas de.. :

Découvrez et corrigez automatiquement les injections SQL avec Aikido AI SAST Autofix

Checkout Zen et prévenir les attaques par injection au moment où elles se produisent

Bonus : L'histoire de SQL à travers l'histoire

Depuis que nous avons commencé à parler de sécurité dans nos applications, nous avons parlé de l'injection SQL. Elle figurait même en 7e position dans le tout premier top 10 de l'OWASP en 2003. En 2010, elle a été incluse dans la catégorie des injections et a pris la première place jusqu'en 2021. L'une des premières attaques à grande échelle documentées impliquant l'injection SQL a eu lieu lorsque l'entreprise de vêtements Guess a été prise pour cible, ce qui a entraîné la fuite de numéros de cartes de crédit. Depuis lors, l'injection SQL fait régulièrement la une des journaux de sécurité.

Bonus Pt 2 - Consultez Injection Attacks 101 pour obtenir une introduction aux injections SQL, aux injections de code et aux XSS.

"Aikido nous aide à identifier les zones d'ombre de notre sécurité que nous ne pouvions pas traiter complètement avec nos outils existants. Cela a changé la donne pour nous, au-delà des solutions SCA (Software Composition Analysis) pour lesquelles nous les avons fait venir à l'origine".

Il y a quelques temps, nous avons partagé avec vous que Visma a choisi Aikido Security pour les entreprises de son portefeuille. Récemment, nous avons eu le plaisir de recevoir Nicolai Brogaard, Service Owner de SAST & SCA à notre siège belge.

Nikolai fait partie de l'équipe chargée des tests de sécurité chez Visma, un grand conglomérat qui compte 180 entreprises en portefeuille. Visma prend la sécurité au sérieux - c'est un point sur lequel elle se concentre dans tous les domaines. Avec 15 000 employés (dont 6 000 développeurs) et une équipe de sécurité dédiée de 100 personnes, la sécurité est au cœur de leurs opérations.

Voici ses réflexions sur l'évolution du paysage de la sécurité et sur le rôle qu'y joue l'aïkido.

Pourquoi l'Aïkido ?

Chez Visma, nous avons envisagé de créer nos propres outils de sécurité, mais nous avons rapidement réalisé que ce n'était pas la meilleure façon d'utiliser nos ressources. C'est là qu'Aikido est intervenu. Ils ont comblé les lacunes que nos outils existants, en particulier SAST (Static Application Security Testing), ne couvraient pas. Avec Aikido, nous n'avons pas eu à nous épuiser à développer des outils à partir de zéro.

L'expertise régionale est importante

Étant basés dans l'UE, il est très important pour nous de travailler avec des fournisseurs qui comprennent les réglementations spécifiques auxquelles nous sommes confrontés - en particulier des choses comme le GDPR et les exigences en matière de résidence des données. Aikido a compris cela. Ils connaissent les tenants et les aboutissants des réglementations de l'UE, ce qui facilite grandement notre mise en conformité avec des éléments tels que la conservation des données sur le sol national.

Comment nous évaluons les logiciels de sécurité

Lorsque nous recherchons de nouveaux fournisseurs, nous appliquons la règle des 80/20 : si une solution répond aux besoins de 80 % des entreprises de notre portefeuille, elle mérite d'être prise en considération. Pour nous, Aikido a atteint cet objectif. Au-delà de l'ACS, la société propose des fonctionnalités supplémentaires, telles que la prise en compte des angles morts en matière de sécurité et l'aide à la gestion de la sécurité dans le nuage (CSPM). Ces avantages supplémentaires ont vraiment scellé l'accord pour nous.

Les bienfaits de l'Aïkido

Aikido n'a pas seulement amélioré notre posture de sécurité, il nous a aussi aidés à découvrir des choses qui nous échappaient avec nos outils précédents. Au départ, nous avons fait appel à eux pour le SCA, mais nous avons rapidement réalisé qu'ils pouvaient faire bien plus, notamment en réduisant le temps et les efforts consacrés à la gestion des faux positifs. Leur fonction d'auto-remédiation permet à nos équipes de gagner énormément de temps. Elle élimine le bruit et permet à nos développeurs de se concentrer sur ce qui est vraiment important.

Une transition en douceur

Le passage à Aikido a été facile. Chez Visma, nous disposons d'un portail de sécurité interne pour les développeurs appelé Hubble, qui rend l'intégration de nouveaux outils très simple. Avec Aikido, il a suffi d'intégrer l'outil dans Hubble et de donner un léger coup de pouce aux entreprises de notre portefeuille pour qu'elles passent à l'autre outil. La plupart des entreprises ont fait la transition rapidement, et les autres suivent au fur et à mesure que nous suivons les risques en interne.

Ce que Visma aime dans l'Aïkido

La meilleure chose à propos de l'Aïkido ? Ils sont super proactifs. Nous partageons un canal Slack avec eux, et ils sont toujours prompts à répondre et à résoudre les problèmes que rencontrent nos équipes. C'est génial de sentir que nous sommes plus qu'un simple client - ils se soucient vraiment de s'assurer que nous tirons le meilleur parti de leur produit.

"Aikido n'est pas seulement un fournisseur pour nous, c'est un véritable partenaire. Leur réactivité et leur volonté de nous aider à réussir font toute la différence".

Faits marquants :

• Combler les lacunes en matière de sécurité: L'aïkido met en lumière les angles morts qui échappent à nos autres outils.
• Une automatisation qui fait gagner du temps: La fonction d'auto-remédiation réduit le bruit et permet à nos développeurs de se concentrer sur les vrais problèmes.
• Simplicité d'intégration: Grâce au portail interne de Visma, l'intégration des entreprises à Aikido est un jeu d'enfant.
• Support proactif: Le support rapide et réactif d'Aikido via des plateformes de messagerie instantanée (comme Slack) nous donne l'impression d'être entre de bonnes mains.
  

Hé, Dan ! Peux-tu nous en dire un peu plus sur toi et Bound ?

Bonjour, je suis Dan Kindler, directeur technique et cofondateur de Bound. Notre objectif est de rendre la conversion et la couverture des risques de change bon marché, équitable et, surtout, facile. Nos plateformes aident des centaines d'entreprises à se protéger du risque de change dans le monde entier. Actuellement, environ la moitié de notre équipe est composée d'ingénieurs.

Comment Bound se positionne-t-il dans le secteur FinTech et par rapport à la concurrence ?

Avant de plonger dans les FinTech elles-mêmes, permettez-moi de vous expliquer comment nous nous positionnons par rapport aux institutions financières traditionnelles. Les banques ou les courtiers traditionnels s'adressent généralement à des clients qui disposent d'équipes de trésorerie importantes et qui privilégient les transactions par téléphone ou par courrier électronique. Leurs bourses en ligne n'offrent généralement que des transactions sur place. Notre objectif étant de faciliter les opérations de couverture, nous proposons des outils de couverture au comptant et de couverture de change pour gérer et protéger vos flux de trésorerie internationaux. En décembre 2022, nous avons reçu l'autorisation de la FCA, une autorité de régulation financière britannique, ce qui nous permet de proposer des produits de couverture réglementés.

En matière de FinTech, on peut dire sans risque de se tromper que nous brisons les frontières (ouais) en introduisant les conversions de devises en ligne en libre-service. Des sociétés comme Wise et Revolut ont fait un travail remarquable pour faciliter les conversions de devises en ligne, mais elles ne se concentrent que sur les conversions "spot" (ou instantanées). Avec Bound, nous nous concentrons sur les flux de trésorerie futurs, ce qui n'est pas le cas de ces sociétés.

Quel est l'objectif de la sécurité dans les FinTech ?

La sécurité joue un rôle essentiel dans notre secteur. En fin de compte, nous traitons des transactions financières qui peuvent valoir des centaines de milliers de livres, de dollars ou d'euros, voire plus. Chez Bound, notre volume de transactions a déjà dépassé les centaines de millions de dollars. Si un risque de sécurité se faufile dans notre produit - ou dans n'importe quel produit FinTech d'ailleurs - on peut dire sans risque de se tromper qu'il y a du grabuge dans l'air. Et pas n'importe lequel. Outre les conséquences juridiques, les pirates informatiques pourraient voler les économies d'autres personnes, détruisant ainsi des entreprises et des vies.

Dans le domaine de la FinTech, nous pouvons imaginer que les instances réglementaires ou les organismes de réglementation gouvernementaux surveillent de plus près les entreprises qui traitent les données de leurs clients. Comment Aikido vous aide-t-il à faire face à cette situation ?

La pression pour rester conforme est énorme. Au Royaume-Uni, nous naviguons constamment entre des réglementations strictes telles que le GDPR et les orientations de la FCA sur la protection des données et la sécurité. Les régulateurs attendent de nous que nous soyons proactifs dans la gestion des vulnérabilités, d'autant plus que nous traitons des données clients sensibles.

Aikido a changé la donne pour nous. La plateforme 9 en 1 nous permet de couvrir tous les aspects de la sécurité de nos logiciels. Cette approche nous permet de répondre plus facilement aux exigences réglementaires sans avoir à assembler plusieurs outils. La réduction du nombre de faux positifs est un atout majeur. Dans un contexte réglementaire, nous n'avons pas le luxe de perdre du temps à traquer des vulnérabilités inexistantes. La précision d'Aikido signifie que lorsqu'une alerte arrive, nous pouvons être sûrs qu'il s'agit de quelque chose qui nécessite une action, ce qui est inestimable lors des audits ou des examens de conformité. De plus, la clarté de l'interface utilisateur permet à notre équipe d'agir rapidement, en évitant la complexité qui accompagne généralement les outils de sécurité. Cela nous permet de garder une longueur d'avance sur les problèmes de conformité potentiels sans perturber notre flux de développement.

Quelle réglementation future envisagez-vous pour les autres responsables et vice-présidents de l'ingénierie ?

Les futures réglementations FinTech du Royaume-Uni devraient se concentrer sur l'expansion de l'Open Banking et l'amélioration de la surveillance des actifs numériques. Avec des innovations telles que les paiements récurrents variables et un bac à sable réglementaire numérique, les équipes d'ingénieurs doivent se préparer à des normes de sécurité plus strictes et à de nouvelles intégrations d'API.

Avant l'Aïkido, qu'est-ce qui vous empêchait de dormir en termes de sécurité ? Comment abordiez-vous la question de la sécurité ?

Honnêtement, la gestion de différents outils pour chaque type de contrôle de sécurité était un véritable gâchis. Nous étions constamment inquiets de rater quelque chose, et le nombre de faux positifs rendait la situation encore plus difficile. Aikido a tout regroupé en un seul endroit, ce qui nous permet maintenant de détecter les vrais problèmes sans tout ce bruit, et nous facilite grandement la vie.

Nous avons vu que Bound est l'un de nos rares clients qui a pratiquement résolu tous les problèmes signalés. Aikido vous a-t-il aidé à résoudre ce problème ?

Absolument ! Nous sommes fiers de prendre la sécurité très au sérieux (comme la plupart des entreprises - espérons-le - le font). Pour nous, Aikido a eu un impact considérable sur notre approche de la gestion des vulnérabilités et de la remédiation. Nous le considérons comme notre seule source de vérité, et les fonctions de déduplication et de pré-filtrage des faux positifs de la plateforme nous aident vraiment à voir la forêt à travers les arbres. Dès qu'une vulnérabilité réelle apparaît, nous faisons en sorte qu'un déclencheur apparaisse dans notre outil de suivi des problèmes (Linear) afin de nous assurer que nous la corrigeons dès que possible. Ce processus est très bien conçu et bien intégré dans notre cycle de développement, et nous nous y fions beaucoup.

Quelle est votre expérience de la collaboration avec l'équipe d'Aïkido ?

L'équipe a été très réactive et nous a soutenus dès le premier jour. Nous sommes en mesure de partager des commentaires en temps réel, de faire des demandes et de recevoir des mises à jour de produits pertinentes par le biais de notre canal Slack commun. À un moment donné, j'ai demandé à l'équipe d'Aikido si elle savait dans quoi elle s'était embarquée. Nous n'avons pas laissé dormir leur équipe produit une fois que nous avons réalisé que nous pouvions demander tout ce que nous voulions !

Quelle est votre caractéristique préférée ?

La réduction des faux positifs mise à part, le bouton "Importer de GitHub" est très sympa. J'aime beaucoup le fait que tous les dépôts soient automatiquement assignés à une équipe. Nous pouvons garder GitHub comme source de vérité, tandis qu'Aikido organise tout de manière transparente en conséquence.

Des remarques finales ?

Nous avons effectué notre premier test de pénétration et notre premier audit de sécurité Amazon AWS au début de l'année, qui se sont très bien déroulés. Nous n'avons obtenu qu'une note moyenne (et je n'étais pas entièrement d'accord avec la plupart des notes moyennes, de toute façon...). Ils auraient probablement trouvé beaucoup plus de choses intéressantes si nous n'avions pas eu Aikido qui nous criait dessus en permanence, alors merci pour ça !

Dans le domaine du développement de logiciels, il est essentiel de veiller à la sécurité des applications. Les technologies cloud-natives et les cycles de développement plus rapides entraînent de nouveaux défis en matière de sécurité.

La gestion de la sécurité des applications (ASPM) permet d'identifier et de corriger les vulnérabilités tout au long du cycle de vie de l'application. Ces outils offrent la visibilité et le contrôle nécessaires pour protéger les applications.

Pour faciliter le choix, voici une liste des 7 meilleurs outils ASPM, reconnus pour leurs fonctionnalités, leur intégration et leur efficacité.

Comprendre la gestion de la sécurité des applications (ASPM)

La gestion de la sécurité des applications (ASPM) consiste à gérer en permanence les risques liés à la sécurité des applications. Les outils ASPM collectent, analysent et hiérarchisent les problèmes de sécurité tout au long du cycle de développement des logiciels, offrant ainsi une vue complète de la sécurité des applications.

Ces outils utilisent des technologies avancées telles que l 'IA et l'apprentissage automatique pour hiérarchiser les vulnérabilités en fonction de leur gravité. En consolidant les données provenant de divers outils de test de sécurité et en s'intégrant aux flux de travail de développement, les solutions ASPM aident les équipes à identifier et à résoudre les vulnérabilités de manière efficace.

Les principaux avantages des SAGI sont les suivants

• Visibilité centralisée: Fournit une vue unifiée des risques de sécurité, simplifiant le suivi et la gestion des vulnérabilités.
• Priorité contextuelle: Aide les équipes à se concentrer sur les risques critiques en tenant compte de l'impact sur l'entreprise, de la probabilité d'un exploit et de la valeur des actifs.
• Intégration transparente: Fonctionne avec les outils et processus de développement existants, ce qui permet aux développeurs de résoudre les problèmes de sécurité sans perturber le flux de travail.
• Surveillance continue: Offre une surveillance et des alertes en temps réel pour maintenir la posture de sécurité tout au long du cycle de vie de l'application.

Les organisations qui adoptent les SGAE peuvent gérer de manière proactive les risques de sécurité, en veillant à ce que les applications restent sûres. ASPM permet aux équipes de développement d'intégrer la sécurité dans les applications, minimisant ainsi le risque de violation et d'atteinte à la réputation.

Les 7 meilleurs outils ASPM

1. Sécurité en aïkido

Aikido Security fournit une solution complète de gestion de la sécurité qui s'intègre dans les flux de travail existants. Elle hiérarchise les menaces de sécurité grâce à une analyse intelligente des risques, ce qui permet aux équipes de s'attaquer rapidement aux vulnérabilités critiques. La remédiation est rationalisée dans les environnements de développement, ce qui améliore la productivité.

2. Xygeni

Xygeni offre un aperçu détaillé des postures de sécurité à travers les étapes de développement, identifiant à la fois les vulnérabilités courantes et les problèmes subtils tels que les fuites de données. Il étend la protection aux composants open-source et aux environnements de conteneurs pour une approche complète.

3. Code Armure

ArmorCode consolide les données provenant de divers outils de sécurité, fournissant une plateforme centralisée pour la gestion des informations de sécurité. Il utilise des algorithmes intelligents pour classer les risques par ordre de priorité, ce qui garantit une attention immédiate aux vulnérabilités critiques. L'automatisation améliore la collaboration et la communication entre les équipes.

4. Sécurité légale

Legit Security renforce la sécurité du pipeline en identifiant les vulnérabilités de l'infrastructure de développement. Il offre une vue d'ensemble détaillée de l'environnement, protégeant contre les violations de données et les menaces internes. Une surveillance continue assure la sécurité des systèmes.

5. Apiiro

Apiiro gère les risques liés au code de manière dynamique, en proposant des évaluations en temps réel pour maintenir la sécurité. Ses analyses détectent les écarts dans le comportement des développeurs, indiquant les risques potentiels. L'intégration dans les systèmes existants permet d'obtenir des informations exploitables pour atténuer rapidement les vulnérabilités.

6. Phoenix Security

Phoenix Security gère activement la sécurité des applications et résout les risques de manière efficace. L'intégration dans les flux de travail actuels garantit le bon déroulement des opérations. Une analyse détaillée permet de hiérarchiser les efforts en matière de sécurité.

7. Sécurité OX

OX Security sécurise les chaînes d'approvisionnement en logiciels, en se concentrant sur la détection et l'atténuation des menaces en temps réel. Il s'intègre aux plates-formes existantes, préservant l'efficacité du flux de travail tout en offrant une visibilité complète.

Comment choisir le bon outil de SAGI

Pour choisir le meilleur outil de SGAA, il faut évaluer plusieurs facteurs clés. Les organisations doivent évaluer la capacité d'un outil à cartographier et à découvrir les actifs et à catégoriser les risques. Une solution ASPM complète doit offrir des informations détaillées sur les composants de l'application et ne laisser aucune faille de sécurité.

Intégration et compatibilité: Choisissez une solution qui s'intègre harmonieusement aux écosystèmes DevOps existants. Cette intégration garantit que les protocoles de sécurité sont intégrés dans les processus de développement sans entraver la productivité. Un outil qui se connecte facilement aux pipelines CI/CD et à d'autres plateformes est inestimable.

Déploiement et assistance: Décidez si le déploiement doit se faire dans le nuage ou sur site, en fonction des besoins en matière d'infrastructure et de conformité. Évaluez les prix pour vous assurer qu'ils sont abordables sans perdre des fonctionnalités clés. Une assistance solide de la part du fournisseur, y compris le service clientèle et l'assistance technique, renforce l'utilité de l'outil.

Facteurs clés pour le choix d'un outil de SAGI

Prise en charge des technologies et des langages: Assurez-vous que l'outil prend en charge les langages de programmation et les technologies utilisés dans votre organisation, en particulier avec les systèmes open-source et cloud-native.

Automatisation et réaction: Optez pour des outils qui prennent en charge la détection et la réponse automatisées. Les fonctions d'automatisation telles que les analyses programmées peuvent rationaliser les opérations.

Adaptabilité et croissance: Au fur et à mesure que les environnements applicatifs évoluent, l'outil ASPM doit s'adapter. Choisissez une solution qui s'adapte à l'infrastructure et offre des configurations personnalisables pour relever les nouveaux défis en matière de sécurité.

L'avenir des ASPM

La gestion de la sécurité des applications (ASPM) devient de plus en plus importante à mesure que le développement de logiciels s'accélère et que les défis en matière de sécurité augmentent. La complexité des applications modernes exige des outils ASPM capables de s'adapter et d'évoluer efficacement. Les organisations qui cherchent à concilier déploiement rapide et sécurité exigeront de plus en plus des solutions ASPM avancées.

Progrès de l'IA et de l'apprentissage automatique

L'IA et l'apprentissage automatique affineront les capacités des ASPM, permettant une évaluation précise des risques et une prédiction des menaces. Ces technologies amélioreront la capacité des outils ASPM à traiter des données complexes, en identifiant les failles de sécurité avec précision. Au fur et à mesure que les modèles d'apprentissage automatique évolueront, ils offriront des mesures de sécurité adaptatives, aidant les organisations à rester vigilantes face aux menaces.

L'adoption d'une plateforme de gestion de la sécurité des applications peut contribuer à simplifier la gestion de la sécurité. En utilisant des outils ASPM, les organisations peuvent plus facilement naviguer dans les complexités de la sécurité des applications modernes. Commencez gratuitement avec Aikido dès aujourd'hui pour obtenir une vue d'ensemble de vos problèmes de sécurité tout au long du cycle de développement.

TL;DR Nous nous sommes associés à SprintoGRC, la plateforme d'automatisation de la conformité à la sécurité, pour aider les entreprises à mettre la sécurité en pilote automatique. Obtenez la conformité 🤝 retournez à la construction.

Comment se mettre en conformité sans imposer une lourde charge de travail à votre équipe de développement ? Ou mieux encore, comment se mettre en conformité rapidement?

Qu'il s'agisse d'ISO 27001, de SOC 2 ou de [insérer ici un autre cadre de conformité ], l'obtention et le maintien de la conformité est une tâche ardue. Mais ce n'est pas une fatalité.

Avec les outils et le soutien appropriés, vous pouvez mettre la conformité en pilote automatique.

C'est pourquoi nous sommes ravis de lancer un nouveau partenariat avec SprintoGRCune plateforme complète d'automatisation de la conformité en matière de sécurité, conçue pour les entreprises technologiques en pleine croissance.

Sprinto aide les entreprises à "aller vite sans casser les choses" dans le processus de mise en conformité et d'achèvement des audits de sécurité rapidement, grâce à la surveillance continue des contrôles, aux flux de travail automatisés et à la collecte de preuves. Sprinto aide les entreprises du mid-market à rester conformes aux normes SOC 2, ISO 27001, GDPR, HIPAA, PCI-DSS, en plus de 15 cadres plus communs.

Pour satisfaire aux normes SOC 2, ISO 27001 et à la plupart des normes de conformité, les entreprises doivent mettre en œuvre des mesures techniques de gestion des vulnérabilités.

Pour les néophytes, les vulnérabilités techniques sont des zones de faiblesse dans votre code source ou votre infrastructure que les attaquants pourraient potentiellement exploiter. Si les entreprises ne prennent pas les mesures qui s'imposent et ne se protègent pas contre les attaques, il est probable qu'elles ne parviendront pas à se mettre en conformité.

Qu'est-ce que la gestion des vulnérabilités techniques ? Il s'agit d'un terme sophistiqué qui se résume à identifier, hiérarchiser et traiter les vulnérabilités de votre base de code et de votre infrastructure.

Ce processus peut s'avérer très fastidieux et entraîner une charge de travail excessive pour les développeurs. Les développeurs doivent procéder à une évaluation des risques de sécurité, classer par ordre de priorité toutes les vulnérabilités techniques identifiées, puis corriger ces vulnérabilités en appliquant des correctifs, en mettant à jour les logiciels et en apportant des modifications à la configuration. Cela demande des heures et des heures de tri des alertes, de recherche de l'aiguille dans la botte de foin, de décryptage du jargon étranger de la sécurité.

En outre, les développeurs sont tenus de vérifier l'efficacité des mesures de sécurité par des tests - y compris des tests d'intrusion - et de surveiller en permanence l'ensemble de leur code et de leur configuration en nuage pour détecter les vulnérabilités à partir de ce jour.

Entrer : Aikido. Grâce à notre plateforme, les entreprises peuvent automatiser leur gestion des vulnérabilités techniques, sauter les heures de corvée, générer automatiquement leur évaluation des risques, trouver et réparer ce qui est important, et mettre la conformité technique en pilote automatique.

Les entreprises qui utilisent SprintoGRC pour accélérer leur conformité et leur audit peuvent connecter Aikido directement. Toutes les vérifications et preuves générées par Aikido sont téléchargées directement dans Sprinto, accélérant ainsi la mise en conformité.

Utilisation de SprintoGRC + Aikido ensemble signifie que vous pouvez obtenir la conformité plus rapidement - et à moindre coût. Et qui n'aime pas gagner du temps et de l'argent ?

En savoir plus sur Sprinto ici. Mettre en place l'intégration Sprinto x Aikido ici.