Innovate 2010 : Rational automatise officiellement le test et la qualité du code
A l’occasion d’Innovate 2010, Rational a montré qu’officiellement il savait désormais aborder le problème de la sécurité des logiciels par le prisme de la qualité du code. Au programme : intégration des technologies d’analyse statique de Ounce Labs et sortie d’un outil de test de la conformité du code.
Quoi de plus naturel, lorsqu’on parle d’objets interconnectés, de systèmes embarqués et de Smart Grid, que d’aborder la problématique de la sécurité du code. C’est ainsi que pourrait être présenté le message de Rational lors d’Innovate 2010, la conférence dédiée aux outils de développement d’IBM et de sa filiale.
Si cette édition 2010 de l’ex-Rational Conference ne brille pas par une déferlante d’annonces de poids en matière de développement et du cycle de vie du produit, le groupe a toutefois souhaité mettre l’accent - une note relativement légère toutefois - sur la sécurité du code des logiciels dans ce que bi blue appelle sa Smart Planet. Comprendre, dans le langage IBM, un monde où le logiciel, invisible, pilote et interconnecte objets, applications et systèmes.
Deux services et applications font ainsi leur apparition. Tout d’abord, AppScan Source Edition, un outil d’analyse et de test de code source automatique directement issu des technologies d’Ounce Labs, société rachetée par IBM en juillet 2009. Techniquement, l’application vient compléter les outils d’analyse de code dynamique, qui équipaient déjà les outils Rational, d’une technologie de test de code statique propre à Ounce. "Une façon de fédérer deux techniques indissociables aujourd’hui et surtout d’ouvrir l’analyse à davantage de langage de développement", rappelle Jack Danahy, responsable Sécurité chez Rational, et ex-patron de Ounce Labs, sans toutefois citer lesquels.
Deuxième annonce, Application Source Code Security Assessment , constitue, quant à lui, un service en ligne de test de code et de vérification de conformité qui permet d’identifier les éventuels défauts du code. Le service s’appuie sur une liste de contraintes, établie à partir des politiques propres à l’entreprise et génère au final une série de rapports qui répertorient les bugs ou la non-conformité avec les contraintes de sécurité interne.
Pour Emmanuel Vergé, directeur marketing chez Smartesting, société française spécialisée dans le test logiciel, présente à Innovate 2010 - où sa solution Smartesting Center a obtenu la validation « Ready for IBM Rational Software » - , ces deux produits "adressent un pan de la qualité logicielle qui n’était pas abordé jusqu’à présent chez Rational : la sécurité dans le code et la qualité logicielle dans le code.[...] en outre cela donne un message fort que la qualité commence dans le code et qu’il y a une demande en la matière sur laquelle Rational s’aligne aujourd’hui". Et quand IBM rachète une technologie, c’est que le marché est mûr, affirme-t-il, tout en rappelant que Rational reposait sur différents partenaires pour adresser le segment de la qualité par le code.
"Aujourd’hui les axes d’amélioration de la valeur ne sont plus dans les offres ALM traditionnelles, mais d’avoir des outils très pointus sur des niches, qui se branchent sur Rational", résume-t-il.
Rational, un maillon de la sécurité chez IBM
Ce renforcement de la sécurité du code s’inscrit dans un programme bien plus ambitieux chez IBM. Et qui a pour nom Security By Design, une bannière étendue et commune aux offres IBM et Rational qui vise à intégrer la sécurité dans le cycle de développement de logiciels dans son ensemble. "La sécurité ne se limite pas à la gamme Rational, mais également à l’ensemble des technologies IBM, dont Tivoli. [...] Les outils Rational constituent une seule étape de Security by Design" affirme Jack Danahy, un peu comme un ensemble soudé et unifié.
Emmanuel Vergé pense de son côté qu’il s’agit plutôt de stopper un modèle reposant sur des équipes "qui travaillent de façon indépendantes et artisanales pour passer à une modèle standard au sein duquel les produits s’intègrent les uns avec les autres, et notamment avec Jazz pour industrialiser les processus".
En complément :