Créer une vue centralisée pour ce type d'informations est important pour les entreprises dans un contexte où les applications en ligne et mobiles évoluent de plus en plus vite et où non seulement les données des entreprises, mais aussi les informations confidentielles de millions de consommateurs se trouvent exposées.

De 70 à 100 jours avant qu'une faille soit corrigée

Les services d'analyse en ligne proposés par des sociétés comme Vericode et WhiteHat Security ont quantifié ce risque, rappelle John Dickson, un autre dirigeant de la société. « Quelques-unes des pires vulnérabilités peuvent rester ainsi 70 à 100 jours avant d'être patchées »,  selon lui. L'une des raisons à cela réside dans le fait que l'équipe qui se préoccupe du logiciel et l'équipe qui peut intervenir dessus appartiennent souvent à des organisations séparées et ne sont pas en mesure de se coordonner efficacement. L'interface utilisateur web de ThreadFix apporte une réponse à cela, estime John Dickson.

Un outil de scan peut livrer une longue liste de vulnérabilités. Tandis que ThreadFix divisera la liste en portions, filtrées par type de vulnérabilité ou en fonction de leur gravité par exemple. Les équipes de développement peuvent s'atteler à un groupe de problèmes identiques, ce qui peut les amener à trouver des réponses plus efficacement que si chacun de ces problèmes était confié à des développeurs distincts. « Cela semble simple, mais c'est en fait un problème important entre l'équipe qui s'occupe des vulnérabilités et de la sécurité d'une part et le groupe de développeurs d'autre part », considère Dan Cornell.

Calculer les temps moyen de correction

En centralisant ces données, les membres d'une équipe peuvent voir toutes les vulnérabilités d'une application, ou encore disposer d'un inventaire complet sur les logiciels. Elle pourra effectuer des corrélations sur les résultats des tests, constater si les vulnérabilités de code deviennent plus ou moins fréquentes, ou encore calculer le temps moyen nécessaire pour corriger un bug, par application ou par équipe de développement, afin de dégager une tendance dans le temps.

On peut télécharger ThreadFix gratuitement sur GoogleCode. On configure les groupes utilisateurs, par exemple les développeurs d'une application de e-commerce, ou bien les équipes en fonction de leur répartition géographique. Sur chaque groupe, on crée un enregistrement pour chaque application et on identifie les outils de scan et de suivi utilisés. On configure ThreadFix pour importer des données de chaque outil et le logiciel collecte, agrège et suit ces informations dans le temps. Un tutorial de démarrage fournit des indications pour la configuration initiale.