Test logiciel : l'outil gratuit ThreadFix agrège les données sur les vulnérabilités

Développé par Denim Group et mis à disposition gratuitement dans sa version bêta sur GoogleCode, le logiciel Open Source ThreadFix vise à réduire le temps nécessaire au traitement des vulnérabilités par les équipes de test logiciel. Il importe les résultats des tests dynamiques, statiques et manuels de différents outils afin de fournir aux équipes de développement une vue centralisée sur les failles de sécurité.

Les développeurs en entreprise peuvent maintenant recourir à une application web Open Source pour centraliser les données sur les vulnérabilités des logiciels, à partir de différents outils d'analyse de code et de test. C'est en effet ce que permet ThreadFix en fournissant une vue agrégée de ces informations et des outils de reporting. L'outil permet de réduire le temps nécessaire au traitement des bugs, notamment pour les applications mobiles qui se multiplient.

La version bêta de ThreadFix est disponible via GoogleCode et s'accompagne de tutoriaux et diverses informations de support, signalent nos confrères de Network World. Elle se configure facilement pour importer les résultats de test et de scan à partir d'outils Open Source tels que Bugzilla (suivi de bugs) et Skipfish (pour tester la sécurité des applications web), ou de solutions commerciales comme Fortify, rachetée par HP, ou comme la gamme AppScan d'IBM.

ThreadFix est élaboré depuis deux ans par Denim Group, une société de développement de logiciels installée à San Antonio (Texas), spécialisée dans la mise au point d'applications sécurisées et dans les prestations de conseil associées. La société a conçu cet outil en interne pour combler un manque. Les équipes de développement de logiciels devaient s'appuyer sur différentes solutions de programmation et de sécurité, mais elles ne disposaient pas, bien souvent, d'une vue unique sur le type de vulnérabilités détectées, ni sur leur gravité et leur statut.

Des applications en ligne et mobiles qui évoluent rapidement

« Nous avions remarqué que même lorsque les équipes de développement se servaient de suites logicielles spécialisées sur la sécurité, elles le faisaient souvent de façon superficielle », explique Dan Cornell, co-fondateur de Denim Group en 2004. « Par exemple, elles peuvent occasionnellement recourir à des outils de balayage du code (scanning tools), mais elles ne répètent pas l'opération de façon régulière. Et la plupart des organisations n'ont pas standardisé leurs outils autour d'une solution unique. Elles utilisent de nombreux outils, de multiples langages et approches de développement ». Il en résulte, selon lui, un manque d'orientation stratégique autour de la sécurité du logiciel, les entreprises ne pouvant pas évaluer si leurs pratiques s'avèrent payantes à terme sur la réduction des vulnérabilités. Elles ne peuvent pas non plus comparer l'efficacité de ces pratiques avec les résultats obtenus par les entreprises appartenant au même secteur qu'elles.

Threadfix récupère les données depuis les différents outils exploitées, les agrège et permet aux développeurs et à leurs managers de les filtrer en fonction de certains critères. On peut aussi, par exemple, exporter des vulnérabilités de type injections de code SQL vers un outil de détection de bugs afin qu'une équipe travaille dessus. Threadfix fait ensuite remonter les résultats de l'analyse du code remise à jour, puis met en évidence les vulnérabilités rectifiées.

[[page]]

Créer une vue centralisée pour ce type d'informations est important pour les entreprises dans un contexte où les applications en ligne et mobiles évoluent de plus en plus vite et où non seulement les données des entreprises, mais aussi les informations confidentielles de millions de consommateurs se trouvent exposées.

De 70 à 100 jours avant qu'une faille soit corrigée

Les services d'analyse en ligne proposés par des sociétés comme Vericode et WhiteHat Security ont quantifié ce risque, rappelle John Dickson, un autre dirigeant de la société. « Quelques-unes des pires vulnérabilités peuvent rester ainsi 70 à 100 jours avant d'être patchées », selon lui. L'une des raisons à cela réside dans le fait que l'équipe qui se préoccupe du logiciel et l'équipe qui peut intervenir dessus appartiennent souvent à des organisations séparées et ne sont pas en mesure de se coordonner efficacement. L'interface utilisateur web de ThreadFix apporte une réponse à cela, estime John Dickson.

Un outil de scan peut livrer une longue liste de vulnérabilités. Tandis que ThreadFix divisera la liste en portions, filtrées par type de vulnérabilité ou en fonction de leur gravité par exemple. Les équipes de développement peuvent s'atteler à un groupe de problèmes identiques, ce qui peut les amener à trouver des réponses plus efficacement que si chacun de ces problèmes était confié à des développeurs distincts. « Cela semble simple, mais c'est en fait un problème important entre l'équipe qui s'occupe des vulnérabilités et de la sécurité d'une part et le groupe de développeurs d'autre part », considère Dan Cornell.

Calculer les temps moyen de correction

En centralisant ces données, les membres d'une équipe peuvent voir toutes les vulnérabilités d'une application, ou encore disposer d'un inventaire complet sur les logiciels. Elle pourra effectuer des corrélations sur les résultats des tests, constater si les vulnérabilités de code deviennent plus ou moins fréquentes, ou encore calculer le temps moyen nécessaire pour corriger un bug, par application ou par équipe de développement, afin de dégager une tendance dans le temps.

On peut télécharger ThreadFix gratuitement sur GoogleCode. On configure les groupes utilisateurs, par exemple les développeurs d'une application de e-commerce, ou bien les équipes en fonction de leur répartition géographique. Sur chaque groupe, on crée un enregistrement pour chaque application et on identifie les outils de scan et de suivi utilisés. On configure ThreadFix pour importer des données de chaque outil et le logiciel collecte, agrège et suit ces informations dans le temps. Un tutorial de démarrage fournit des indications pour la configuration initiale.