alphaspirit - Fotolia
DevSecOps : AWS tente de faire bouger les lignes avec CodeGuru Security
Un nouveau service DevSecOps d’AWS élargit les intégrations tierces pour son outil existant d’analyse de sécurité piloté par l’IA, ouvrant la voie à une concurrence accrue avec Microsoft Copilot et les partenaires SAST d’AWS.
Amazon CodeGuru Security, lancé en avant-première cette semaine, se présente comme un outil d’analyse statique de la sécurité des applications (SAST) qui détecte automatiquement les failles de sécurité dans le code Java, Python et JavaScript et propose des mesures correctives. Il est basé sur la même bibliothèque CodeGuru Detector déjà intégrée à AWS CodeWhisperer, un assistant de développement accolé à un IDE, et – depuis cette semaine à Amazon Inspector, un outil de la gestion des vulnérabilités au runtime, pour la surveillance des fonctions Lambda.
Alors que les analyses de sécurité CodeGuru pour CodeWhisperer fournissent des résultats via AWS Toolkit for Visual Studio ou JetBrains IDE, Amazon CodeGuru Security s’intègre à GitHub, GitLab, Atlassian Bitbucket et JupyterLab en plus des outils DevOps d’AWS, selon la documentation d’AWS. Sur son site Web et lors de la conférence RE:Inforce de cette semaine, le fournisseur cloud a mis l’accent sur une architecture fondée sur des API et sur sa capacité à s’intégrer à n’importe quelle étape du cycle de vie du développement.
« Il cible une partie différente du pipeline », considère Keith Townsend, directeur de The CTO Advisor LLC et collaborateur de TechTarget [ le propriétaire du MagIT]. « En tant qu’organisation CISO, comment auditer le code si la détection se fait au niveau de l’IDE ? Comment gérer les problèmes de sécurité à plusieurs niveaux ? Il n’y a peut-être pas de problème avec le code au sein de l’application cloisonnée de ce code au niveau de l’IDE, mais qu’en est-il dans le contexte d’un pipeline d’applications plus large ? C’est un outil différent pour un domaine d’intérêt différent ».
Rattraper le retard pris sur GitHub Copilot
Avec ce changement d’orientation pour Amazon CodeGuru, les observateurs du marché perçoivent également de potentiels changements dans le paysage concurrentiel entre AWS et des rivaux tels que Microsoft, ainsi que des partenaires SAST tiers.
Un observateur du secteur considère que l’arrivée de CodeGuru Security est le signe de pressions sur AWS de la part de Microsoft, en particulier avec GitHub Copilot auquel l’entreprise de Jeff Bezos tente de répondre avec CodeWisperer.
« Microsoft appelle tous ses plugins [d’IA générative] Copilot, que ce soit pour GitHub, pour Office, etc. », renseigne Rob Strechay, fondateur de Smuget Consulting. « AWS semble dire qu’il dispose de ce type de solutions, mais qu’elles sont cachées dans plus d’un service. Il s’agit donc de les exposer et de les utiliser pour concurrencer Copilot de GitHub en particulier ».
En outre, Rob Strechay avance que l’intégration de la sécurité de CodeGuru avec davantage d’outils tiers pourrait refléter un manque de demande pour les outils natifs d’AWS tels que IDE Toolkit, CodeCommit, CodeBuild et CodeDeploy.
« [AWS] semble admettre que personne n’utilise sa pile de développement, donc [elle doit] être davantage là où sont les clients, ce qui aurait dû faire dès le départ plutôt que de construire un IDE », juge-t-il.
Keith Townsend ne connaît pas le niveau d’adoption réelle des outils de développement d’AWS.
« Mais il serait logique qu’AWS offre une plateforme SaaS que vous pouvez brancher à vos pipelines, ces extensions d’IDE ne bénéficient pas d’adoption de masse », avance-t-il.
AWS tente de faire des vagues sur le marché DevSecOps
Le fait de positionner Amazon CodeGuru Security comme un outil SAST le place également en concurrence potentielle avec des partenaires tels que Snyk, ajoute Larry Carvalho, analyste indépendant chez RobustCloud.
« Il reste à voir si cette annonce suscite des remous au sein de la communauté des partenaires », poursuit-il. « Toutefois, cela offre des choix aux clients et permet aux éditeurs tiers de rester vigilants pour innover en permanence et garder une longueur d’avance ».
Comme d’autres fournisseurs de solutions DevSecOps, au cours de l’année dernière, dont GitHub, AWS a ajouté une fonction d’exportation de nomenclature logicielle (SBOM) à Amazon Inspector cette semaine. Une fois que Inspector a exporté les données SBOM vers un bucket S3, les utilisateurs peuvent les analyser et les interroger à l’aide du service de requête SQL serverless Amazon Athena ou de la plateforme BI Amazon QuickSight.
« À première vue, cela semble convaincant », estime M. Townsend. « Cela pourrait faciliter sérieusement le travail des développeurs afin qu’ils se concentrent sur la valeur plutôt que de suivre à la trace les détails du SBOM ».
Enfin, AWS a renforcé un autre service DevSecOps piloté par l’IA avec l’ajout de l’accessibilité au réseau dans Amazon Inspector et des résultats de vulnérabilité logicielle à Amazon Detective. Ces groupes de résultats visent à accélérer les enquêtes de sécurité en hiérarchisant automatiquement les résultats des analyses de sécurité, en identifiant la cause profonde des problèmes de sécurité et en les comparant avec le framework de cybersécurité Mitre ATT&CK. Les groupes de résultats Amazon Detective comprenaient auparavant uniquement les résultats de la détection des menaces Amazon GuardDuty.