Découvrez comment la solution Parasoft Continuous Quality permet de contrôler et de gérer les environnements de test pour fournir des logiciels de haute qualité en toute confiance. Inscrivez-vous pour la démo >>
Temps de lecture : 3 minutesDevSecOps a pris un essor considérable en tant que processus de facto pour formaliser et intégrer les tests de sécurité dans le cadre du processus d'intégration continue et de déploiement/livraison continus (CI/CD). Par intégrer la sécurité dans un processus CI/CD, les organisations peuvent automatiser les tests de sécurité qui se déclenchent à chaque commit du développeur, évitant ainsi les retards en tant que processus fermé ou s'y rattachant à la fin.
CI/CD est le cœur du développement de logiciels modernes et les entreprises réalisent le besoin d'instancier un pipeline CI/CD pour automatiser et rationaliser leur processus de livraison de logiciels.
Le ministère de la Défense (DoD) réalise le changement dans le développement de logiciels modernes et subit une transformation numérique pour augmenter l'agilité de la mission en soutenant les combattants et les opérations sur le terrain. Fournir des fonctionnalités logicielles tous les trois à dix ans rend impossible de suivre le rythme de la technologie. En conséquence, le DoD a lancé une initiative Enterprise DevSecOps pour moderniser et transformer son approche de la livraison de logiciels.
Cette initiative comprend plusieurs composants conçus pour renforcer la sécurité des logiciels, améliorer les capacités de l'infrastructure, rationaliser les processus informatiques et moderniser les processus de conformité afin de permettre une autorité d'exploitation continue à l'échelle du DoD.
Dans le cadre de l'initiative Enterprise DevSecOps du DoD, un référentiel central de conteneurs autorisés, renforcés et accrédités d'outils et de capacités de développement logiciel de pointe a été créé. Ce référentiel central, connu sous le nom d'Iron Bank, est conçu pour abaisser la barre dans la mise en place de solutions DevSecOps dans les programmes logiciels du DoD.
Compte tenu des menaces récentes et croissantes de compromettre les chaînes d'outils CI/CD et les pipelines DevSecOps, comme le montre la violation de SolarWinds, le DoD cherche à tirer parti d'Iron Bank pour accélérer l'adoption de DevSecOps afin de sécuriser le processus de livraison de logiciels pour tous les programmes logiciels du DoD.
Le référentiel d'Iron Bank hébergera à la fois des outils de développement de logiciels gratuits et open source (FOSS) et commerciaux (COTS). Les conteneurs d'Iron Bank seront renforcés sur la base du guide de durcissement des conteneurs de l'agence pour permettre la réciprocité à l'échelle du DoD entre les classifications.
Les programmes logiciels du DoD peuvent alimenter leur pipeline CI/CD et leurs chaînes d'outils avec Parasoft C / C ++test , le plus complet test de sécurité des applications statiques (SAST) solution pour C et C++, qui s'appuient sur des techniques d'analyse complètes (analyse basée sur des modèles, analyse de flux de données et interprétation abstraite) pour exposer des vulnérabilités critiques qui conduisent souvent à des cyberattaques.
Il est actuellement hébergé sur GitHub d'Iron Bank en tant que fichier docker et est destiné à être utilisé comme image de base pour les chaînes d'outils du compilateur C/C++. Les versions standard et professionnelle sont disponibles pour aider les logiciels du DoD à formaliser SAST et capacités de test unitaire dans le cadre de leurs tests logiciels. Parasoft reconnaît que la capacité à développer, déployer et améliorer continuellement des logiciels est essentielle à la défense nationale.
Le test Parasoft C/C++ est idéal pour développement de logiciels embarqués et peut aider à appliquer et à valider les normes de conformité en matière de sécurité et de qualité, telles que Énumération commune des faiblesses (CWE), CERT Normes de codage sécurisé, MISRA et AUTOSAR pour n'en nommer que quelques-uns, ainsi que la validation de la conformité pour DISA STIG et OWASP.
Des études récentes suggèrent que la taille du marché des systèmes embarqués militaires (défense nationale) devrait passer de 1.4 milliard en 2020 à 2.1 milliards d'ici 2025 à un TCAC de 8.3% de 2020 à 2025.
Parasoft réalise cette demande croissante et s'est engagé à investir des ressources importantes pour garantir que notre solution SAST de test C/CC++ peut être conteneurisée pour répondre aux normes de sécurité et de renforcement du DoD. Cela offre une opportunité unique à Parasoft de travailler avec les programmes logiciels du DoD pour atteindre leurs objectifs de mission de transformation numérique et de modernisation des pratiques de développement logiciel afin d'assurer une sécurité logicielle rapide.
La solution de conteneurisation Parasoft SAST offre les avantages suivants aux programmes logiciels du DoD.
Ces avantages sont essentiels pour aider le DoD à répondre aux besoins de sa mission et à réaliser les possibilités illimitées du développement de logiciels modernes. La formalisation précoce des tests de sécurité logicielle avec un état d'esprit tourné vers la gauche n'est pas négociable pour les systèmes critiques et doit s'appuyer sur des principes d'assurance logicielle continue. Faites-le tôt et faites-le souvent.
« MISRA », « MISRA C » et le logo triangulaire sont des marques déposées de The MISRA Consortium Limited. ©The MISRA Consortium Limited, 2021. Tous droits réservés.
Kevin, directeur des solutions de sécurité chez Parasoft, possède une vaste expérience et une vaste expertise en matière de sécurité logicielle, de cyber-recherche et développement et de DevOps. Il met à profit ses connaissances pour créer des solutions et des technologies significatives afin d'améliorer les pratiques de sécurité logicielle.