Broadcom renforce la sécurité du framework Spring

En rachetant VMware, Broadcom a aussi hérité du portefeuille d’outils de développement en particulier sur Java avec le framework open source Spring. Conscient des menaces liées à l’IA (découverte de failles ou attaques basées sur l’IA), le fournisseur a décidé d’investir dans la sécurité de ces outils. Pour cela, il va publier des mises à jour spécifiques. « « Spring est l’un des frameworks de développement d’applications les plus largement adoptés au monde, et en tant que gardien de celui-ci, nous avons une grande responsabilité envers sa sécurité », a déclaré Purnima Padmanabhan, vice-présidente et directrice générale de la division Tanzu de Broadcom. Il ajoute, « comme nous assurons de Spring et que nous sommes les seuls contributeurs, nous pouvons mieux le sécuriser à la source pour tous ceux qui en dépendent. Cet investissement porte sur deux aspects que nous ne séparerons jamais : la santé de la communauté Spring et la sécurité de nos clients qui font confiance à Spring pour gérer leur activité. »

La société a également annoncé que, face à l'explosion du nombre d'avis de sécurité signalés par la communauté, son équipe d'ingénieurs avait « considérablement intensifié » son utilisation d'outils IA pour l'aider à identifier les vulnérabilités, évaluer les solutions de correction et valider les correctifs dans l'ensemble de l'écosystème des dépendances. Bien que Broadcom ait refusé de préciser les modèles IA qu'elle utilise pour la recherche de bogues, il fait partie du projet Glasswing d'Anthropic. Il est donc probable que Claude Mythos soit impliqué dans cette initiative.

Un accès privilégié aux correctifs pour les utilisateurs payants

L'un des avantages réservés aux clients Entreprise de Tanzu Spring est l'accès en avant-première aux versions validées de correctifs CVE via le Spring Enterprise Repository, avant leur publication en open source. Cela permettra aux clients de réparer les brèches plus rapidement. « En utilisant les référentiels d'artefacts privés de Tanzu Spring, les clients peuvent être assurés que ces artefacts sont les correctifs officiels et validés de Broadcom, le responsable de Spring », a fait valoir Broadcom dans son communiqué, ajoutant qu'il continuerait à publier des CVE pour toutes les versions de chaque projet Spring bénéficiant d'un support open source, ainsi que pour les versions plus anciennes bénéficiant du support d’entreprise Tanzu Spring.

Le support comprend plusieurs éléments :

-Une source certifiée pour des bibliothèques Spring sécurisées

-La publication en priorité de correctifs pour les versions actuelles et anciennes bénéficiant d'un support d'entreprise.

-L'accès aux binaires Java dépendants.

-Des mises à niveau automatisées et déterministes avec Spring Application Advisor.

-Des composants Tanzu Spring exclusifs pour la gouvernance et la sécurité.

-Une assistance 24/7, une expertise pratique et un accès à l'équipe Spring.

De plus, Broadcom a indiqué avoir désormais ajouté :

-Une supply chain logicielle sécurisée et validée SLSA niveau 3 pour les dépendances Java.

-Une couverture qui englobe l'ensemble du graphe de dépendances transitives géré par la nomenclature de Spring Boot.

-Des milliers de dépendances sécurisées, construites et testées sur toutes les versions Spring prises en charge. À lui seul, Spring Boot 4.0 en gère 1 768 ; sur l'ensemble du portefeuille pris en charge, cela représente au total plus de 100 000 versions de dépendances validées.

Une monétisation des correctifs qui fait débat

Seva Ioussoufovitch, analyste de recherche senior chez Info-Tech Research Group, considère ces initiatives comme globalement positives. « Il est encourageant de voir Broadcom prendre des mesures proactives pour faire face à l’augmentation des vulnérabilités détectées par l’IA auxquelles de nombreuses entreprises ont dû faire face ces derniers mois », s’est-il félicité. « Des annonces comme celle concernant Claude Mythos ont clairement montré que le secteur doit repenser les approches traditionnelles concernant les correctifs de sécurité. » M. Ioussoufovitch n’est pas non plus surpris par l’ampleur de cette mise à jour, soulignant qu’elle correspond aux résultats des analyses et des corrections effectuées par l’IA, et que cette tendance devrait se poursuivre. « Ce qui est plus significatif, c’est la mise à disposition de dépendances validées et sécurisées », a-t-il souligné. « C’est un pas décisif dans la bonne direction, surtout au vu de la liste toujours plus longue des vulnérabilités de la chaîne d’approvisionnement auxquelles le secteur a dû faire face ces derniers mois. »

Par contre, M. Ioussoufovitch apprécie moins la restriction des correctifs « zero-day » aux clients payants. « Faire payer pour les correctifs de sécurité n’est pas nouveau, mais lorsqu’il n’existe aucune alternative prête à l’emploi pour un écosystème aussi critique que Spring, on a le sentiment que le fournisseur cherche à forcer une plus grande partie de la communauté open source à s’engager sur la voie de la monétisation », a-t-il regretté. « Une autre approche aurait pu consister à mettre les correctifs CVE à la disposition de tous tout en facturant le packaging, la validation et le support de niveau entreprise, mais compte tenu de la monétisation agressive engagée ces dernières années par Broadcom, ce choix n’est pas vraiment une surprise. »