Pour les développeurs, cela signifie une analyse de la sécurité du code dans les outils SonarSource qu'ils connaissent déjà : SonarQube et SonarCloud. Et SonarSource a pris soin d'appliquer la même règle « pas de faux positifs » à l'analyse de sécurité qu'elle utilise pour son analyse de la qualité du code.

SonarSource ajoute l'analyse SAST à ses outils depuis plusieurs années, mais ses efforts ont été renforcés par l'acquisition de RIPS-TECH en mai 2020, spécialisée dans l'analyse SAST très précise de PHP. Depuis l'acquisition, l'équipe combinée a réorganisé la détection des vulnérabilités d'injection de SonarSource à partir de la base pour incorporer le meilleur des deux sociétés. Résultat : aujourd'hui, les développeurs ont accès à une précision inégalée dans l'analyse de sécurité du code Java, C#, PHP, Python et JavaScript dans SonarQube et SonarCloud, et d'autres langages sont à venir.

La disponibilité d'analyses SAST très précises dans les outils de développement représente un changement radical par rapport à l'état actuel des connaissances. D'autres outils SAST sont conçus pour un public d'auditeurs de sécurité plutôt que de développeurs. Ils soulèvent un large éventail de questions, en espérant que les auditeurs de sécurité feront le tri dans les résultats pour trouver les vrais positifs.

En ciblant les développeurs, SonarSource a adopté une approche différente : régler les règles SAST pour ne soulever que les vrais positifs et accepter que quelques problèmes marginaux puissent passer entre les mailles du filet. « Notre approche de la sécurité du code est un véritable changement de paradigme, qui prend l'approche opposée des acteurs traditionnels qui s'occupent des CISO, des risques et des besoins de conformité, et qui ressentent la douleur de faire le pont avec le développement afin de régler les problèmes. Grâce à la précision que nous offrons, les développeurs peuvent être les destinataires directs des problèmes de vulnérabilité. Et quand on connaît le niveau d'intégration de nos produits dans les pipelines de développement et son niveau d'adoption, il n'est pas difficile d'imaginer le type d'impact qu'il aura sur le marché de la sécurité », a déclaré Olivier Gaudin, PDG de SonarSource.

À propos de SonarSource

SonarSource construit des produits de classe mondiale pour la qualité et la sécurité du code. Ses analyseurs de code open-source et commerciaux (SonarLint, SonarCloud, SonarQube) prennent en charge 27 langages de programmation, permettant aux équipes de développement de toutes tailles de résoudre les problèmes de codage dans le cadre de leurs flux de travail existants. Les produits SonarSource, auxquels font confiance plus de 250 000 entreprises dans le monde, constituent une norme de facto permettant aux équipes et aux organisations de fournir des logiciels meilleurs et plus sûrs.

À propos de RIPS Technologies

RIPS Technologies a été fondée en 2016 et est une société dédiée aux technologies innovantes de test de sécurité, connue pour avoir construit de toutes pièces son meilleur analyseur de code PHP. Ses équipes possèdent un savoir-faire approfondi dans la mise en œuvre d'analyseurs de sécurité innovants capables de détecter automatiquement des vulnérabilités même complexes et profondément imbriquées, dans le code PHP et, plus récemment, dans d'autres langages comme Java et JavaScript.

