MEND SCA Détection des vulnérabilités et gestion des licences librairies Open Source
- Langages : Ruby , JavaScript , Python , php , C# , C++ , node.js
- Secteurs d'activité : Spatial , Automobile , Ferroviaire , Médical , Nucléaire , Autres Industries , IT - Systèmes d'informations , Avionique
- Fournisseur : MEND (WHITESOURCE)
MEND (anciennement WhiteSource) est une solution d’analyse de codes détectant automatiquement les librairies Open Source qui y sont intégrées, ainsi que les défauts et les vulnérabilités connues de ces librairies Open Source.
De nos jours, bon nombre d’applications industriels utilisent des libraires Open Source, dont le nombre peut être si important qu’il est très difficile voire impossible de maintenir à jour leur inventaire manuellement. Cela est encore plus vrai si on souhaite connaître en temps réel les vulnérabilités qui affectent ces librairies Open Source.
Par nature, les logiciels Open Source sont communautaires, et même s’il y a un « responsable » initial du projet, leur développement est souvent distribué : Il y a un flot continu d’évolutions, de correctifs. Toutes ces alertes et modifications sur les défauts ou vulnérabilités trouvés ou corrigés sont répertoriées sur des serveurs différents. Il devient alors très difficile de connaitre avec précision la qualité de la version qu’on utilise. Seule une approche d’analyse automatisée du code permet d’avoir cette vue globale sur les librairies Open Source intégrées à son logiciel : c’est ce qu’amène la solution MEND (WhiteSource)..
Devenue une pratique courante de nos jours, l’intérêt de l’utilisation de l’Open Source n’est plus à démontrer, ne serait-ce que par le gain de temps que cela amène. Il est souvent plus avantageux d’utiliser une librairie Open Source largement diffusée pour réaliser une fonction que de la recréer soi-même. Néanmoins si cette pratique s’est largement diffusée, l’augmentation de l’utilisation de l’Open Source a entrainé une augmentation des vulnérabilités. De plus, bon nombre de librairies Open Source sont enfouies dans des codes existants sans qu’on en ait conscience, librairies pouvant être soumises à des droits d’utilisation ou de licence particuliers. Il est donc devenu primordial, voire crucial pour les équipes de développement ainsi que les responsables, d’être non seulement à même de cartographier l’ensemble des librairies Open Source utilisées au sein de les développements, mais également d’en connaitre les vulnérabilités.
Solution MEND SCA : comment cela fonctionne ?
Intégré sous forme de plugin dans l’environnement de développement, MEND SCA (anciennement WhiteSource) calcule la signature digitale de chaque librairie Open Source présente dans le code utilisateur. Cette signature est alors comparée à l’ensemble des signatures de toutes les librairies Open Source existantes à travers les bases de données des composants Open Source. MEND SCA (anciennement WhiteSource) ne rapatrie aucun code utilisateur sur ces bases de données, il ne fait que comparer la signature digitale des librairies Open Sources utilisées dans le code. Les bases de données de MEND regroupent les références de la plus grande majorité de librairies Open source au monde, soit plus de 200 langages de programmation ainsi que l’ensemble des distributions Linux. Quelque soit l’origine du projet Open Source dont les librairies que vous utilisez sont issues, MEND les connaitra.