Veracode lance Veracode Fix, une solution basée sur l’IA et permettant d’automatiser la recherche et la correction du code. Issue du rachat de l’allemand Jaroona, qui avait développé une technologie de détection et de remédiation automatique aux vulnérabilités logicielles. Intégrée dans un premier temps dans sa solution Continuous Software Security Platform, la technologie repose sur l’IA et a été entraînée sur l’ensemble des données propriétaires de Veracode.

Veracode Fix est une solution d’apprentissage automatique spécialisée dans la sécurité, qui utilise la même architecture transformer que ChatGPT. Le modèle est formé sur un ensemble de données spécialisées provenant de l’ensemble de données propriétaire de Veracode — plus de 130 billions de lignes de code analysées et 85 millions de corrections sur près de deux décennies — avec un apprentissage supervisé par une équipe de chercheurs experts en sécurité, afin d’affiner les tâches de correction des failles. Son rôle est de suggérer des remédiations pour les failles de sécurité trouvées dans le code et les dépendances open source. Veracode Fix sera disponible en juin 2023 avec un support initial pour Java et C#.  

Accélérer le pipeline CI/CD

Avec la pression accrue pour créer et déployer des logiciels dans le mode Continuous delivery (CD), les équipes de développement ont besoin que les contrôles de sécurité soient intégrés de manière transparente dans les outils sur lesquels ils travaillent. Ceci afin de pouvoir trouver et corriger rapidement les vulnérabilités. C’est une approche d’ingénierie logicielle qui implique l’intégration, le test et le déploiement continus des changements de code dans les environnements de production. La livraison continue peut aider les équipes à fournir des logiciels plus rapidement et avec une plus grande fiabilité, mais certaines contraintes peuvent limiter son efficacité.

De plus, les équipes de sécurité doivent respecter des normes de conformité de plus en plus strictes définies en interne et par la réglementation. La plateforme de sécurité logicielle continue de Veracode permet aux entreprises d’intégrer cette étape de correction du code conformément aux architectures logicielles et aux pratiques de développement modernes. Traditionnellement, lorsqu’une faille est découverte, les développeurs recherchent et réécrivent le code pour corriger manuellement le problème de sécurité. Si l’on tient compte des milliers de failles potentielles de sécurité, cette approche retarde généralement la mise en production et augmente la dette de sécurité.  

DevSecOps assisté par l’IA

Contrairement aux outils d’analyse qui se contentent de débusquer les failles, Veracode Fix génère des correctifs de code sécurisés que les développeurs peuvent examiner et mettre en œuvre pour remédier aux failles de sécurité, sans avoir à coder manuellement un correctif. Les développeurs peuvent réduire à la fois l’introduction de failles et de vulnérabilités dans le code et l’accumulation de dettes de sécurité pendant la durée de vie d’une application.

En intégrant de manière transparente la sécurité des applications dans le cycle de vie du développement logiciel (SDLC), la plateforme rationalise les flux de travail en réunissant les équipes de développement et de sécurité en leur fournissant les fonctions de découverte et les suggestions de correction du code à chaque étape du processus de développement.