CodeSonar fait adopter l'approche DevSecOps au développement de logiciels embarqués
ISIT
Toulouse, le 30/08/2021 : GrammaTech, l’un des principaux fournisseurs de solution pour le test de sécurité des applications et fortement investit dans les programmes de recherche logicielle, distribué en France par ISIT, a annoncé la disponibilité de la nouvelle version de CodeSonar qui automatise la détection des défauts de codage permettant d’accélérer la mise en œuvre des méthodologies DevSecOps dans les pipelines de développement de logiciels embarqués.
CodeSonar prend désormais en charge tous les principaux langages de développement (C, C++, C# et Java) dans une plate-forme unifiée et s’intègre nativement à GitHub Actions pour fournir des fonctionnalités de test statique de sécurité des applications (SAST) pour les applications embarquées. Cette nouvelle version permet également la génération de rapports préformatés spécifiquement pour les standards de cybersécurité (CERT, OWASP) ainsi que les standards sécuritaires (AUTOSAR, MISRA, …)
L’approche DevSecOps pour les applications embarquées
Les logiciels embarqués prennent souvent en charge les fonctions critiques d’un système que ce soit dans le secteur industriel, automobile, aérospatial, militaire et la défense, système où la défaillance n’est pas une option. Assurer la qualité, la sécurité et la sûreté de ces systèmes commence dès la phase développement logiciel. CodeSonar fournit des fonctionnalités SAST transparentes qui s’intègrent aux pipelines CI/CD existants, tels que GitLab, Jenkins et GitHub, pour automatiser la détection et la correction des défauts de codage tout au long du cycle de vie du développement logiciel.
Iris ID, l’un des principaux développeurs et moteurs de la commercialisation et de l’adoption de la technologie iris, utilise CodeSonar pour mettre en œuvre l’approche DevSecOps dans une équipe globale de développeurs afin d’assurer en permanence la sécurité et d’améliorer la qualité. « Avec CodeSonar, nos développeurs peuvent examiner le code ensemble, discuter des problèmes et comprendre pourquoi ils ont été détectés afin qu’ils puissent être rapidement résolus », a déclaré Jun Hong, directeur de la technologie pour Iris ID. « Cela nous a permis de rendre le codage sécurisé aspect fondamental pour la livraison de nos produits. »
En plus des intégrations existantes avec Jenkins et GitLab, CodeSonar s’intègre désormais à GitHub Actions pour offrir aux développeurs une expérience DevSecOps transparente. CodeSonar fournit les résultats SAST directement dans l’interface utilisateur d’analyse de code GitHub, permettant aux équipes de développement d’adopter une démarche « Shift left » sans perturber leur cycle de vie de développement logiciel.
L’intégration de CodeSonar avec GitHub Actions fournit à la communauté des développeurs des options supplémentaires pour ajouter l’analyse SAST directement dans les workflows et pipelines de développement. En amenant l’approche SAST pour le développement de logiciels embarqués, CodeSonar permet aux développeurs utilisant GitHub de se concentrer sur les standards de codage spécifiques à l’industrie où la sécurité et la sécurité fonctionnelle sont essentielles.
Iris ID, l’un des principaux développeurs et moteurs de la commercialisation et de l’adoption de la technologie iris, utilise CodeSonar pour mettre en œuvre l’approche DevSecOps dans une équipe globale de développeurs afin d’assurer en permanence la sécurité et d’améliorer la qualité. « Avec CodeSonar, nos développeurs peuvent examiner le code ensemble, discuter des problèmes et comprendre pourquoi ils ont été détectés afin qu’ils puissent être rapidement résolus », a déclaré Jun Hong, directeur de la technologie pour Iris ID. « Cela nous a permis de rendre le codage sécurisé aspect fondamental pour la livraison de nos produits. »
En plus des intégrations existantes avec Jenkins et GitLab, CodeSonar s’intègre désormais à GitHub Actions pour offrir aux développeurs une expérience DevSecOps transparente. CodeSonar fournit les résultats SAST directement dans l’interface utilisateur d’analyse de code GitHub, permettant aux équipes de développement d’adopter une démarche « Shift left » sans perturber leur cycle de vie de développement logiciel.
L’intégration de CodeSonar avec GitHub Actions fournit à la communauté des développeurs des options supplémentaires pour ajouter l’analyse SAST directement dans les workflows et pipelines de développement. En amenant l’approche SAST pour le développement de logiciels embarqués, CodeSonar permet aux développeurs utilisant GitHub de se concentrer sur les standards de codage spécifiques à l’industrie où la sécurité et la sécurité fonctionnelle sont essentielles.
CodeSonar v6.1
La nouvelle version de CodeSonar offre les fonctionnalités et avantages suivants :
- Plate-forme unique pour les langages C, C++, C# et Java qui élimine le besoin de plusieurs outils et fournit une expérience utilisateur familière pour tous les pipelines CI/CD
- Prise en charge des normes de sécurité CERT et OWASP pour C#, C/C++ et Java avec mapping vers les classes de warnings CodeSonar pour automatiser la détection des erreurs de codage courantes
- Rapports de failles de sécurité préformatés pour les standard de l’industrie tels que l’automobile, l’aviation, et d’autres secteurs incluant AUTOSAR C++, Build-Security-In (BSI), Jet Propulsion Lab (JPL), MISRA C/C++ et NASA Power of 10
- La prise en charge de la bibliothèque ODBC automatise la détection des fuites memoire, le déréférencement de pointeur null, le code mort, etc.
- Checker de noms de variables pour C++ permettant de renforcer les normes de style de codage afin d’améliorer la lisibilité du code et réduire les erreurs
« Les équipes de développement d’applications embarquées dans une même organisation utilisent souvent des langages différents en fonction du produit sur lequel elles travaillent et, dans la plupart des secteurs, elles doivent se conformer à des normes de sûreté et de sécurité spécifiques », a déclaré Vince Arneja, directeur des produits chez GrammaTech. « CodeSonar fournit désormais un support complet pour les différents langages ainsi que des outils de conformité aux normes dans une plate-forme unifiée qui est à la fois automatisée et transparente pour les utilisateurs finaux. Grâce aux intégrations aux solutions CI/CD telles que GitHub Actions, nous facilitons l’adoption de DevSecOps par les équipes de développement.
À propos de GrammaTech
GrammaTech est l’un des principaux fournisseurs mondiaux de solutions de test de sécurité des applications (SAST) utilisées par les organisations les plus soucieuses de la sécurité au monde pour détecter, mesurer, analyser et résoudre les vulnérabilités des logiciels qu’elles développent ou utilisent. La société est également un partenaire de confiance en matière de cybersécurité et de recherche en intelligence artificielle pour les agences civiles, de défense et de renseignement du pays. GrammaTech a son siège social à Bethesda MD, un centre de recherche et développement à Ithaca NY, et publie Shift Left Academy, une ressource éducative pour les développeurs de logiciels.
À propos de GrammaTech
GrammaTech est l’un des principaux fournisseurs mondiaux de solutions de test de sécurité des applications (SAST) utilisées par les organisations les plus soucieuses de la sécurité au monde pour détecter, mesurer, analyser et résoudre les vulnérabilités des logiciels qu’elles développent ou utilisent. La société est également un partenaire de confiance en matière de cybersécurité et de recherche en intelligence artificielle pour les agences civiles, de défense et de renseignement du pays. GrammaTech a son siège social à Bethesda MD, un centre de recherche et développement à Ithaca NY, et publie Shift Left Academy, une ressource éducative pour les développeurs de logiciels.