Les développeurs en entreprise peuvent maintenant recourir à une application web Open Source pour centraliser les données sur les vulnérabilités des logiciels, à partir de différents outils d'analyse de code et de test. C'est en effet ce que permet ThreadFix en fournissant une vue agrégée de ces informations et des outils de reporting. L'outil permet de réduire le temps nécessaire au traitement des bugs, notamment pour les applications mobiles qui se multiplient.

La version bêta de ThreadFix est disponible via GoogleCode et s'accompagne de tutoriaux et diverses informations de support, signalent nos confrères de Network World. Elle se configure facilement pour importer les résultats de test et de scan à partir d'outils Open Source tels que Bugzilla (suivi de bugs) et Skipfish (pour tester la sécurité des applications web), ou de solutions commerciales comme Fortify, rachetée par HP, ou comme la gamme AppScan d'IBM.

ThreadFix est élaboré depuis deux ans par Denim Group, une société de développement de logiciels installée à San Antonio (Texas), spécialisée dans la mise au point d'applications sécurisées et dans les prestations de conseil associées. La société a conçu cet outil en interne pour combler un manque. Les équipes de développement de logiciels devaient s'appuyer sur différentes solutions de programmation et de sécurité, mais elles ne disposaient pas, bien souvent, d'une vue unique sur le type de vulnérabilités détectées, ni sur leur gravité et leur statut.

Des applications en ligne et mobiles qui évoluent rapidement

« Nous avions remarqué que même lorsque les équipes de développement se servaient de suites logicielles spécialisées sur la sécurité, elles le faisaient souvent de façon superficielle », explique Dan Cornell, co-fondateur de Denim Group en 2004. « Par exemple, elles peuvent occasionnellement recourir à des outils de balayage du code (scanning tools), mais elles ne répètent pas l'opération de façon régulière. Et la plupart des organisations n'ont pas standardisé leurs outils autour d'une solution unique. Elles utilisent de nombreux outils, de multiples langages et approches de développement ». Il en résulte, selon lui, un manque d'orientation stratégique autour de la sécurité du logiciel, les entreprises ne pouvant pas évaluer si leurs pratiques s'avèrent payantes à terme sur la réduction des vulnérabilités. Elles ne peuvent pas non plus comparer l'efficacité de ces pratiques avec les résultats obtenus par les entreprises appartenant au même secteur qu'elles.

Threadfix récupère les données depuis les différents outils exploitées, les agrège et permet aux développeurs et à leurs managers de les filtrer en fonction de certains critères. On peut aussi, par exemple, exporter des vulnérabilités de type injections de code SQL vers un outil de détection de bugs afin qu'une équipe travaille dessus. Threadfix fait ensuite remonter les résultats de l'analyse du code remise à jour, puis met en évidence les vulnérabilités rectifiées.